[아이뉴스24 최은정 기자] 2014년 한국수력원자력 해킹 배후로 알려진 김수키(Kimsuky)가 최근 국방관련 내용의 문서를 도용, 이를 악성코드 유포에 활용한 정황이 포착됐다.
김수키는 북한이 연루된 것으로 추측되는 해커 그룹이다. 주로 대북단체 및 외교안보 분야를 대상으로 공격을 감행한다. 2014년 12월 한수원 직원 약 3천500여명에게 5천900여통의 스피어 피싱 메일을 보내기도 했다.
19일 이스트시큐리티 등 보안 업계에 따르면 김수키는 지난해 12월부터 이어진 공격에 더해 최근 비주얼베이식스크립트(VBS) 기반 악성코드 제작에 나선 것으로 확인됐다. VBS에 국방 관련 문서를 심어 유포하려는 정황이 포착된 것. VBS는 윈도에서 실행되는 확장자 중 하나다.
이는 백신 등 최신 보안제품을 우회하기 위해 다양한 형태의 악성코드를 만들려는 시도로 해석된다. 기존에는 실행파일(.exe)과 한글문서(.hwp) 파일 취약점을 주로 악용했다. 이번에 VBS 기반 악성코드 제작이 특이한 이유다.
특히 이스트시큐리티는 이번에 발견한 VBS 악성코드 명령제어(C2) 서버가 앞서 공격에서 쓰인 것과 동일하다는 것을 확인, 위협 배후에 김수키 조직이 있을 것으로 의심하고 있다.
김수키는 지난해 12월 '베트남 녹지원 상춘재 행사 견적서'로 위장한 악성파일 공격을 감행하기도 했다. 두 달 뒤인 지난달 17일에는 오성사 도면 관련 사칭 문서, 지난 6일에는 특정 교육원 전 직원 주민등록등본 파일 등도 발견됐다.
또 지난 13일에는 이들이 악용한 것으로 보이는 말레이시아 금융 관련 사칭 문서도 발견됐다. 이스트시큐리티는 여기서 사용된 C2 서버명(happy-boy.pe[.]hu)과 이번 VBS 악성코드 C2가 일치하는 것으로 확인했다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 "앞선 주민등록등본 사칭, 견적서 사칭 관련 공격은 이번 VBS 위협 배후와 연계돼 있다"며 "말레이시아 금융 관련 사칭 공격과 이번 VBS와의 공통점은 모두 같은 C2 서버를 운영하고 있는 것"이라고 분석했다.
이어 "또 해커가 정부 관련 문서를 사칭해 지능형지속위협(APT)에 이용하고 있는 것이 확인돼 이에 대한 민관 협력 등 적극적인 대응이 필요하다"며 "해커가 실제 국방 관련 문서를 어떻게 입수해 이를 도용했는지 조사중"이라고 덧붙였다.
최은정 기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기