해가 거듭되면서 김수키는 보다 날카로워지고 있다. 또한 과감해지고 있기도 하다. 방어는 점점 더 어려워지고, 따라서 기본 보안 수칙의 중요성은 더욱 높아지는 중이다.
[보안뉴스 문가용 기자] 북한 사이버 공격 그룹인 김수키가 새로운 정찰 멀웨어를 활용한 캠페인을 시작했다. 이 멀웨어는 MS 원드라이브 링크를 포함한 스피어피싱 메일 형태로 유포되는 중이라고 보안 업체 센티넬원(SentinelOne)이 알렸다. 김수키가 사용하는 무기가 하나 더 늘어났고, 덕분에 북한의 공격을 자주 받는 조직이나 업체는 한 가지 더 경계해야 할 것이 생겼다.
![[보안뉴스 / 5.9.] 북한의 김수키, 새로운 멀웨어 들고 나타나 새 표적 공격](http://www.boannews.com/media/upFiles2/2023/05/224684052_2036.jpg)
[이미지 = utoimage]
센티넬원 측에 따르면 김수키의 새로운 캠페인의 표적은 코리아리스크그룹(Korea Risk Group, KRG)이라고 한다. KRG는 북한과 관련이 있는 각종 정보나 현황을 다루고 분석하는 업체다. 그런데 조사를 이어가다 보니 같은 캠페인이 북미, 유럽, 아시아의 정부 기관, 연구 센터, 싱크탱크 등을 표적으로 진행되고 있음이 드러났다. 게다가 대학 기관에 소속되어 있는 개인들도 공격 대상인 것으로 보였는데, 김수키가 이 부류의 인물들을 공격한 건 처음 있는 일이다.
센티넬원의 연구원인 톰 헤겔(Tom Hegel)과 알렉산다르 밀렌코스키(Aleksandar Milekoski)가 자사 블로그 게시글을 통해 밝힌 내용에 의하면 이 캠페인을 통해 새롭게 등장한 멀웨어의 이름은 레콘샤크(ReconShark)이며, 이는 베이비샤크(BabyShark)라는 기존 멀웨어의 새로운 변종인 것으로 분석됐다고 한다. 베이비샤크는 작년 말 경에 진행된 김수키의 또 다른 공격 캠페인에서 사용된 멀웨어다.
레콘샤크는 각종 하드웨어 정보를 수집하여 공격자들에게 내보내는 기능을 가지고 있다. 여기에는 피해자가 설치한 탐지 기술에 대한 정보도 포함되어 있다. 이런 정보들을 바탕으로 침투 전략을 수립하고 실행한다. 이렇게 정찰 단계를 완료하면 그 다음으로 정밀한 공격을 실행하는데 센티넬원은 “각각의 피해자에게 맞춤형 멀웨어를 사용할 수도 있어 보인다”고 경고했다.
그럴듯한 피싱 이메일
김수키라는 조직이 스피어피싱 전략을 사용한 게 어제 오늘 일은 아니지만 이번 최신 캠페인에서는 피싱 이메일 작성에 특별히 많은 공을 들인 티가 난다. “받는 사람에 의심하지 않을 만한 내용과 문구, 디자인 요소들을 사용해 메일을 만듭니다. 어떻게 해서든 의심을 사지 않은 채 피해자들이 메일을 열어보도록 하겠다는 겁니다. 문법과 메일 형식, 단어 사용에서 확실히 업그레이드 됐습니다.”
게다가 김수키는 자신들이 노리는 표적이 몸 담고 있는 분야에 실존하는 인물이나 단체의 이름도 능숙하게 이메일에 섞어 넣는다. 그렇게 하니 아예 의심할 생각도 못하는 사람이라면 메일을 열어 악성 링크를 클릭하거나 첨부파일을 열어볼 수밖에 없다는 게 센티넬원의 설명이다.
KRG를 겨냥한 공격의 경우 김수키는 마이크로소프트 원드라이브를 악용하기도 했다. 여기에 레콘샤크를 실행시키는 악성 문서를 호스팅한 것이다. 그리고 피싱 메일에 다운로드 링크를 걸어두었다. 사용자가 링크를 봤을 때 원드라이브의 주소가 나오므로 의심을 하지 않게 된다. 이렇게 해서 레콘샤크가 일단 피해자의 시스템에서 발동되고 나면 실행되고 있는 프로세스, 배터리 및 전력 공급 여부, 엔드포인트 보호 기능 등에 관한 정보들을 공격자들에게 전송한다.
이전에 발견됐던 베이비샤크와 다르게 레콘샤크는 정보를 훔치는 데에서 그치지 않는다고 센티넬원은 경고한다. 필요에 따라 추가 악성 페이로드를 심을 수도 있다. “레콘샤크는 피해자가 어떤 종류의 탐지 기능을 활용하는지 파악하고, 그에 맞춘 페이로드를 추가로 설치하기도 합니다. 베이비샤크보다 능동적이고 맞춤형인 공격을 실시할 수 있는 것입니다.”
표적을 늘리다
김수키는 최소 2012년부터 보안 업계의 집중 조명을 받아온 단체 중 하나다. 초기에는 주로 연구 기관과 지정학 및 외교 분야의 싱크탱크들을 공략했었다. 팬데믹 기간 동안에는 제약 회사들이 김수키의 집중 공격 대상이 되기도 했었다. 즉 김수키는 상황과 필요에 따라 표적을 자유자재로 바꿀 수 있다는 것이다. 이번 캠페인에서도 대학 기관들을 새롭게 공격하는 모습을 보였는데, 보안 업체 코로(Coro)의 창립자 드로르 리웨르(Dror Liwer)는 “매우 염려되는 현상”이라고 말한다.
“김수키는 점점 변화무쌍한 공격 단체가 되어가고 있습니다. 무기도 새로워지고 공격도 날카로워지며 심지어 공격 표적까지도 얼마든지 바뀝니다. 점점 이들을 특정하거나 방어하는 게 어려워진다는 뜻이 됩니다. 그나마 아직까지 피싱 이메일을 통한 공격이 대다수라는 점에 입각해 방어 계획을 세우는 게 가능하긴 합니다. 안전한 이메일 사용 습관이 가장 효과적인 김수키 대응법이라고 할 수 있습니다.”
3줄 요약
1. 북한의 김수키, KRG라는 북한 정보 분석 전문 업체 겨냥해 공격 시작.
2. 비슷한 공격이 유럽과 북미에서도 있었다는 사실이 발견됨.
3. 게다가 이번에는 레콘샤크라는 새 멀웨어까지 들고 나타남.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>