세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
北 김수키 조직, 북미 정상회담 앞두고 정보수집에 만전?
  |  입력 : 2018-05-23 16:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘통일을 지향하는 평화체제 구축’ 등 내용으로 정보수집하는 한글 악성파일 발견
공격배후로 북한 해킹그룹인 김수키 지목...구글 드라이브 명령제어 서버로 활용


[보안뉴스 김경애 기자] 북한 추정 사이버공격이 또 다시 포착됐다. 북미 정상회담을 앞두고 ‘통일을 지향하는 평화체제 구축’이란 내용으로 한글 악성파일이 발견돼 주목되고 있다.

▲정보수집 목적의 한글 악성파일 화면[이미지=보안뉴스]


특히, 6월 12일로 예정된 북미 정상회담이 차질 없이 진행될 수 있도록 하기 위해 한미 정상회담이 열리는 등 한국이 북·미의 중재자 역할을 해야 하는 중요한 시점에서 사이버공격이 감행돼 관심이 높아지고 있다.

회담을 마친 후, 트럼프 대통령은 “싱가포르 회담이 열릴지 안 열릴지는 두고 봐야 될 것”이라며 “만일 북미 정상회담이 열린다면 아주 좋은 일이 될 것이고, 북한에게도 좋은 일이 될 것이다. 만일 열리지 않는다면 그것도 괜찮다”고 말했다.

이에 대해 문재인 대통령은 “최근의 북한의 태도 변화 때문에 북미 정상회담이 제대로 열릴 수 있을지 걱정하는 일각의 우려가 있는데, 저는 북미 정상회담이 예정대로 개최될 것으로 확신한다”고 밝혔다.

이렇듯 한미 정상회담 진행되는 가운데 국내에선 한글 악성파일이 발견됐다. 이번에 발견된 해당 문서는 한글 악성파일로 2018년 5월 21일 오전 제작된 악성 문서로 확인됐다. 첨부된 파일에는 ‘제2강 가야할 길: 통일을 지향하는 평화체제 구축’이란 제목으로 이메일을 통해 유포됐다.

악성 한글문서 파일에는 ‘2017년 한국에 문재인 정보, 그리고 미국에 트럼프 행정부가 출범하면서 한반도에서 대전환을 위한 새로운 출발을 모색하기 시작했다’며 ‘냉전구조를 해체하고 한반도 평화프로세스를 다시 시작해야 할 것이다. 당면과제를 북핵문제 해결과 평화체제 구축, 남북관계 개선으로 나누어 살펴보기로 한다’며 ‘1. 북한의 핵개발과 전쟁위기 고조와 2. 2018년초의 대전환: 비핵화를 위한 새로운 시작’이란 내용이 포함돼 있다.

이번에 유포된 악성파일은 정보수집 파일로 분석됐으며, 북한 관련 단체나 북한 전문가 등을 타깃으로 이메일을 통해 유포되고 있다.

이와 관련 한 보안전문가는 “공격자는 동일한 쉘코드와 암호화 알고리즘을 사용했고, 구글 드라이브를 명령제어 서버로 활용한다”며 “동일한 계정을 사용한 정황도 포착됐다. 공격자의 서버에 숨겨져 있는 암호화된 파일을 복호화해 분석하는 중으로 공격자 의도를 파악 중”이라고 밝혔다.

공격배후로는 북한 추정 김수키 조직이 지목되고 있다. 특히, 한미 정상회담을 앞두고 악성파일이 발견돼 관련 정보 수집에 심혈을 기울이고 있는 것으로 추정된다. 이와 함께 탈북자나 북한관련 전문가 및 단체를 타깃으로 한 정보탈취 공격에도 촉각을 곤두세워야 하는 상황이다.

김수키 조직은 국내에서 활동하는 북한 추정 해킹 그룹으로 탈북자나 북한관련 단체나 북한 전문가 등을 주로 해킹하는 것으로 알려져 있다.

이스트시큐리티에 따르면 김수키 작전은 2018년 현재까지도 꾸준한 활동을 유지하고 있는 것으로 확인되고 있다며 공격자는 주로 HWP 문서파일의 취약점을 활용한 스피어 피싱(Spear Phishing)을 사용하지만, 상황에 따라 특정 대상의 이메일 계정정보 획득을 위한 고전적 피싱 공격을 복합적으로 사용한다고 분석했다. 특히, 활동을 시작한지 5년이 지난 현재 김수키 계열의 보안위협은 새로운 방식으로 진화를 거듭하고 있다는 분석이다.

최근까지 한국을 상대로 진행된 맞춤형 APT 공격의 악성 문서 파일을 살펴보면 2016년 11월 30일 ‘제46차 원내대책회의 모두발언.hwp’ 제목의 악성파일을 비롯해 2017년 12월 1일 ‘한반도 안보환경과 국방개혁 과제.hwp’, 2018년 1월 30일 ‘남북 사회문화협력의 비전과 과제.hwp’ 파일 등이 있다.

이스트시큐리티 측은 “김수키 계열의 사이버 침투 활동은 현재까지도 계속 이어져 오고 있다”며 “의심스러운 이메일을 수신할 경우 가급적 열람을 자제하고, 의심스러운 경우 발신자에게 사실 여부를 확인하고 실행하는 습관이 필요하다”고 당부했다.

더욱이 남북 정상회담 이후, 북한 추정 사이버공격이 본격화되고 있다는 점이다. 이와 관련 보안업계 관계자는 “4월 27일 남북정상회담 이후 북한 추정 사이버공격이 본격화되고 있다”며 “공격은 지속적으로 있었지만 이전보단 잠잠한 수준이였는데, 남북 정상회담 이후 스피어피싱 등 사이버공격이 계속 포착되고 있다”고 귀띔했다.

이렇듯 국내 북한관련 전문가 등 주요 인사들을 대상으로 정보탈취 및 염탐활동을 은밀하게 유지하고 있는 만큼 이메일과 SNS 아이디와 비밀번호 등을 수시로 변경하는 등 계정정보 보호에 세심한 주의를 기울여야 할 것으로 보인다.

고려대학교 정보보호대학원 이상진 원장은 “사이버 첩보 행위는 전시·평시를 가리지 않고 항상 발생한다”며 “남북 화해분위기라고 해서 북한이 사이버 공격을 하지 않을 것으로 생각하는 건 오산이다. 사회적 이슈가 발생할 때마다 사이버 공간에 침투하여 거점을 확보하고 정보를 탈취하는 시도는 항상 있기 때문에 이에 대한 철저한 대비가 필요하며, 사이버 전력이 우위에 서기 위한 노력을 지속해야 한다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)