안철수가 설립한 안랩이 2022년 북한 해커 집단 킴수키 동향보고서를 2023년 3월 26일 공개했다. 북한정부에는 정부차원에서 양성한 영재 해커 집단들이 있다. 미국 FBI가 수사한 라자루스, 킴수키(KimSukie)가 대표적이다. 2023년 3월 20일 독일과 한국 정보기관도 합동해서 보안권고를 했다.
북한 신종해킹 공동 대응 한국 독일 정보기관 합동 사이버 보안권고문 발표
북한 정찰총국과 연계된 킴수키의 최근 공격은 대부분 스피어 피싱메일을 통해 이뤄지고 있다. 이번 합동 사이버보안 권고문은 2023년 2월 한미 합동 사이버 보안 권고문에 이어 국정원이 해외 정보기관과 두 번째로 발표하는 합동 보안권고문이다.
한국 독일 양국 정보기관은 국가배후 해킹조직의 공격 수법이 계속 진화하는 중이고 이러한 공격에 대응하기 위해 국제공조가 필수적이라로 합동 보안 발표의 이유를 밝혔다.
국정원은 대한민국은 물론 전 세계가 안전한 사이버공간을 이용할 수 있도록 세계 각국과 합동 보안권고문을 지속적으로 발표해 나갈 것이라고 말했다. 미국 사어버 당국 CISA도 킴수키에 대해 합동경보를 발령했다.
신종 해킹 북한 킴수키의 구글메일 사이버 공격
킴수키(KimSukie)는 탈륨, 벨벳, 천리마 등의 이름이 있다. 한국 국가정보원과 독일 연방헌법보호청(BfV, 헌보청)이 킴스키가 최근 구글 서비스의 취약점을 악용해 신규 해킹수법으로 사이버 공격을 시도하고 있다고 3월 20일 합동 보안권고문을 발표했다.
킴수키 해커조직은 ‘크로미움 브라우저’의 확장 프로그램을 악용해 구글 메일을 절취한다. 크로미움은 구글에서 개발하는 오픈소스 웹 브라우저 프로젝트이다. 구글 크롬, MS엣지, 네이버 웨일 등이 크로미움 기반으로 만들어졌다.
킴수키는 악성링크가 포함된 이메일을 피해자에게 발송해서 크로미움 브라우저에서 작동하는 악성 확장프로그램 설치를 유도한다. 피해자가 이메일을 열어 이 프로그램을 설치하면 해커가 별도의 로그인 없이 피해자의 이메일을 실시간으로 빼돌릴 수 있다.
최근 김수키는 ‘구글 플레이 동기화’ 기능을 악용한 해킨 수법도 추가로 확보했다. 해커가 사전에 피싱메일 등으로 빼낸 피해자 구글계정으로 PC에서 로그인해서 구글 플레이가 동기화 기능이 적용되면 피해자의 의도와 관계없이 스마트폰에 자동으로 악성앱이 설치된다.
국정원에 의하면 이 악성앱은 테스트용으로 구글플레이에 등록하면 피해자 계정과 바로 동기화된다. 사용자가 직접 악성 이메일 판별 방법을 배우고 의심스러운 이메일을 수신하면 열지 않도록 유의해야 한다.
안랩 2022년 킴스키 동향 보고서
안랩은 킴스키 그룹이 수행한 것으로 알려진 공격방식을 비교 대조하며 분석하기 위해 다양한 경로로 유관 악성코드, C2(Command & Control)서버 등의 정보를 수집했다.
이를 바탕으로 2022년 킴수키 그룹의 악성코드 유포방식과 공격 특징을 보고서로 작성했다. 2022년 김스키 그룹의 타깃은 개인, 조직 구성원이고 이들을 속이기 위해 최적화된 스피어피싱 수법을 적극적으로 활용한 점이 드러났다.
스피어피싱이란 특정인이나 특정 조직을 표적으로 정교하게 제작된 이메일을 보내 악성코드 감염이나 피싱사이트 접속을 유도하는 사이버 공격방법이다.
안랩이 수집한 관련 악성문서와 파일을 분석해 보니 공격자(해커)는 타깃 조직및 개인과 연관성이 높은 주제로 좌담회 자문요청서 연구결과보고서 등을 위장한 악성문서를 제작해 악성코드 유포에 활용한 것으로 드러났다.
문서나 이메일 등을 실제와 분간이 어려울 정도로 정교하게 제작한 것으로 보아 킴수키가 타깃에 대한 치밀한 사전조사를 수행한 것을 알 수 있다.
안랩에 의하면 킴수키 그룹은 공격에 활용하기 위해 악성코드의 종류까지 확대했다. 2020년경부터는 특정 키로깅 악성코드인 플라워파워(FlowerPower)나 백도어 악성코드 AppleSeed를 주로 사용해 왔다.
그러나 2022년에는 이외에도 웹브라우저 내 각종 정보를 유출하는 ‘인포스틸러’ 악성코드와 원격제어 악성코드인 ‘RAT(Remote Administration Tool)까지 추가로 이용했다.
이로 봐서 킴수키는 더욱 광범위한 피해를 입히기 위해 공격에 활용할 악성코드를 다변화하고 있는 것으로 본다. MS의 유명 SW의 취약점을 악용한 공격 시도도 포착됐다.
안랩은 FTP(파일 전송 프로토콜) 파일 서버에서 MS 오피스 관련한 취약점인 ‘폴리나(Folinam CVE-2002-030190)’를 악용하는 악성코드가 발견했다. 폴리나 취약점은 2022년 1월 제로데이 취약점으로 파악되어 같은 해 6월에 패치가 배포되었다.
그러나 보안패치를 적용하지 않은 조직과 개인은 해당 취약점에 악용되어 사용자가 악성 워드파일을 열기만 해도 악성코드에 감염될 수 있다. 그래서 보안패치 적용이 필요하다.
안랩이 권하는 사이버 해킹 예방법
사이버 해킹을 예방하기 위해서 조직 보안담당자는 1. 조직 내 PC· 운영체제· SW·웹사이트 등에 대한 보안 현황파악. 2. OS·SW 취약점을 상시 파악하고 보안패치를 적용. 3. 보안 설루션·서비스 활용 및 내부 임직원 보안교육 실시. 4. 최신 공격동향 및 취약점 정보확보 및 정책수립 등을 수행해야 한다.
개인은 1. 출처가 불분명한 메일 속 첨부파일·URL 실행 안 하기. 2. SW·운영체제·인터넷 브라우저 등 최신보안 패치 적용. 3. 백신 최신버전 유지 및 실시간 감시기능 실행 등 보안 수칙을 지켜야 한다.
북한에서는 수학에 뛰어난 아이들을 조기에 선별해서 해커로 키워 라자루스와 킴수키 집단에 속해 한국과 전세계를 무대로 사이버 해킹을 한다. 해킹은 이메일로 이뤄진다. 미심쩍은 이메일은 열지 않고 신고하는 게 최선이다.
안랩이 북한 해커 집단 킴수키 동향보고서를 공개했다. 미국 사어버 당국 CISA도 킴수키에 대해 합동경보를 발령했다. 한국과 독일 정보기관이 합동으로 보안 권고를 했다.
