[아이뉴스24 최은정 기자] 북한 연루 가능성이 있는 조직이 최근 통일부를 사칭해 사이버 공격을 했다는 주장이 제기됐다.
이스트시큐리티의 시큐리티대응센터(ESRC)는 20일 자사 블로그를 통해 김수키(Kimsuky) 조직이 한국을 대상으로 최신 지능형지속위협(APT)인 '오퍼레이션 페이크 스트라이커(Operation Fake Striker) 공격을 감행한 정황이 포착됐다고 발표했다.
김수키 조직은 북한 연루 의심 해킹조직이다. 김수키 조직은 이번 공격에서 한국 기관을 사칭하거나 아르헨티나 FC바르셀로나 소속 '리오넬 메시' 등과 유사한 계정명으로 활동하며 외교·안보·국방·통일·대북분야 등 주요 인물을 겨냥한 것으로 파악됐다.
특히 이번에 접수된 건은 통일부 정세분석총괄과 발신 명의로 위장, 한반도 비핵화 대화재개 추진 현황 참고자료를 첨부해 이메일을 발송하는 형태로 이뤄졌다. 첨부된 자료는 악의적 코드가 포함된 한글(hwp)파일이었다.
![통일부 사칭 스피어 피싱 이메일 화면 [이미지=이스트시큐리티 블로그]](https://img-lb.inews24.com/image_gisa/201905/1558337803686_1_163735.jpg)
이메일에 첨부된 자료를 열면 문서 소프트웨어(SW) 암호 설정 기능으로 인해 피해자는 악성 코드 감염 여부를 일정 시점까지 파악하지 못한다. 또 이메일 확인 후 삭제, 정해진 기한 안에 회신을 요구하는 등 심리적 압박을 통해 파일을 열도록 유도했다는 게 ESRC 측 설명이다.
ESRC는 "김수키 조직의 사이버 위협 활성도는 매우 높은 편이며, 스피어 피싱과 워터링 홀 등 상황에 맞는 공격 벡터를 적절히 구사한다"며 "기존 포스트 스크립트와 쉘코드 난독화 패턴을 꾸준히 변경해 보안 제품이 탐지하지 못하도록 우회하는 방식을 취했다"고 설명했다.
이어 "한국을 대상으로 한 몇몇 APT 배후에 특정 정부가 조직적으로 가담하고 있고, 수년간 사이버 작전을 진두지휘하고 있는 것으로 확신한다"며 "이들은 한반도 정치 상황이나 혼란스런 사회 분위기를 틈타 심리기반 공격에 총력을 기울이는 특징이 있으며, 마치 신뢰할 수 있는 한국 정부기관이 보낸 내용처럼 사칭해 이용자들을 현혹시킨다"며 주의를 요구했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기