北 김수키, 美 안보분야 고위급 사칭…3월 국내서 사이버 공격 시도

(서울=뉴스1) 김예슬 기자 = 북한의 대표적 해킹 조직인 '김수키'가 최근 미국 고위 당국자를 사칭해 국내에서 사이버 공격을 시도한 정황이 포착됐다.

사이버 보안 기업 지니언스는 1일 '클릭픽스(Click Fix) 전술을 이용한 김수키 그룹 위협 사례 분석'이라는 글에서 지난 3월 한국에서 스피어 피싱 공격 정황이 포착됐다고 밝혔다.

클릭픽스 전술은 지난해 4월 미국 보안기업 프루프포인트가 처음 소개한 것으로, 피해자가 스스로 공격 체인에 개입하도록 유도한 뒤 현혹하는 공격 방식이다.

사용자가 특정 웹사이트를 방문했을 때 가짜 오류 안내 메시지를 표시하고 해결 방법 등을 제시하는 척 악성 명령을 실행하게 하는 방법이 클릭픽스에 해당한다.

지니언스는 "사용자가 위협 요소를 의심하거나 인지하지 못한 채 허위 메시지에 속아 단계별 악성 명령을 실행하는 '심리적 교란 전술'"이라고 표현했다.

김수키는 해외에 공개된 사례를 바탕으로 클릭픽스 전술을 학습해 공격에 사용한 것으로 추정된다.

김수키는 이번 사이버 공격 시도에서 미국 안보 분야 고위급 인사의 보좌관인 것처럼 신분을 사칭한 것으로 나타났다.

문서 수신자에게 이 인사가 곧 한국을 방문할 계획인데 회의에 참석이 가능한지를 물으며 접근했다. 수신자가 "참석하겠다"고 답하면, 질문 목록을 미리 확인할 수 있다며 첨부파일을 송부했다. 첨부파일에는 설명서와 함께 악성코드인 'Code.txt' 파일이 포함됐다.

지니언스는 이전의 클릭픽스 전술에서는 오류 수정을 하도록 클릭을 유도했다면, 김수키는 보안 문서 열람을 위해 인증코드를 복사·붙여넣기 하는 변형된 방식을 사용했다고 설명했다.

이처럼 수신자가 'Code.txt' 파일이 악성코드인 줄 모르고, 클릭한다면 사이버 공격 피해를 입게 된다.

이 밖에도 국방연구 분야 채용 사이트처럼 교묘하게 위장된 가짜 사이트를 통한 클릭픽스 전술 사례도 보고됐다. 이 사이트에 접속하면 팝업 화면이 뜨는데, 팝업 화면을 따라 프로그램을 설치하면 해커들이 피해자 컴퓨터에 원격으로 접속할 수 있게 된다.

김수키가 사용한 클릭픽스 메시지 창에는 '지령', '체계 정보' 등 북한식 정보기술(IT) 표현이 그대로 사용되기도 했다.

피해를 입은 IP주소에서는 한국 주소를 비롯해 다수의 해외 IP가 확인됐다고 지니언스는 전했다.

지니언스는 "유사 피해를 막기 위해 실제 사례를 기억하고, 보안 교육에 지속적인 관심과 노력을 기울여야 한다"며 "단말 보안 강화를 위해 EDR(엔드포인트 위협 탐지·대응)을 통한 선제적 이상 행위 탐지가 중요하다"고 강조했다.

yeseul@news1.kr