미 사이버 안보 담당 기관들이 북한 사이버 공격 단체 ‘김수키 조직’의 국제적 사이버 활동에 대한 합동경보를 발령했습니다. 김수키 조직이 2012년부터 미국과 한국, 일본의 개인과 단체를 표적으로 북한 정권에 이익을 주는 외교·안보 관련 정보들을 탈취해 왔다는 설명입니다. 김시영 기자의 보도입니다.
미 국토안보부(DHS) 산하 사이버안보 기반시설 안보국(CISA), 연방수사국(FBI), 사이버사령부 산하 사이버 국가 임무군(CNMF)이 27일 북한 해커 단체 ‘김수키(Kimsuky)’ 조직의 사이버 활동에 대한 합동 경보를 발령했습니다.
합동 경보를 발령한 3개 부처가 이날 공개한 보고서에 따르면, 김수키 조직은 2012년부터 한국, 일본, 미국의 개인·단체로부터 북한 정권에 이익이 되는 한반도, 핵, 제재 등과 관련한 외교 정책과 안보 관련 정보를 탈취해 왔습니다.
이를 위해 특정 표적을 대상으로 같은 사이버 공격을 지속하는, 김수키 조직 특유의 ‘지능형지속위협(APT)’이 사용됐다고 보고서는 설명했습니다.
또한 구체적 APT 공격 방법으로는 표적을 현혹하는데 사회공학기법(Social Engineereing)이 사용됐다고 밝혔습니다.
사회공학기법은 상호 신뢰를 바탕으로 사람들을 속여 보안 절차를 깨뜨리는 사이버 침입 기법입니다.
보고서는 사회공학기법의 예로 한국 기자를 사칭해 한반도 전문가에게 화상 인터뷰를 요청하는 방법을 소개했습니다.
김수키 조직이 보낸 악성 파일을 마치 인터뷰 참조용 자료인 것처럼 보내 표적이 된 한반도 전문가가 열어보도록 유도하는 방식입니다.
이밖에 코로나, 북핵 프로그램 등의 주제도 표적을 현혹하는 미끼로 쓰였다고 보고서는 밝혔습니다.
표적 전산망 침투에는 주로 ‘스피어피싱(Spear Phishing)’ 기술이 동원됐습니다.
‘작살’을 뜻하는 스피어피싱은 악성 파일을 열어보도록 유도해 멀웨어, 즉 악성 프로그램을 표적 전산망에 심는 사이버 공격 방법입니다.
표적이 파일을 내려받는 순간 해당 전산망에 ‘아기 상어(Baby Shark)’라는 악성 프로그램이 깔리도록 사이버 공격이 설계됐다고 보고서는 밝혔습니다.
북한 정권의 지령을 받는 김수키 조직이 이같은 방식을 이용해 국제적으로 정보 수집 임무를 수행해 왔다는 설명입니다.
사이버사령부의 카트리나 치즈먼 대변인은 이번 합동 경보의 목적을 묻는 VOA의 질문에, 북한은 피싱과 다른 악의적 사이버 행위를 정보 수집 수단으로 사용해 사이버 공간에서의 영향력을 지속하고 있다고 밝혔습니다.
[녹취:치즈먼 대변인] “North Korea continues to leverage cyberspace as a means to collect information through phishing and other malicious cyber activities. The United States continues to share information it believes will have the greatest impact on improving global security, and seeks to deter bad cyber actors like this from harming allies and partners.”
그러면서 미국은 앞으로 관련 정보를 계속 공유하고, 이를 통해 국제 안보 향상에 가장 큰 영향을 줄 것이라고 믿는다고 말했습니다.
이어 북한과 같은 나쁜 사이버 행위자들이 동맹국과 동반국을 위험에 빠뜨리는 행동을 억제하는 방안을 모색할 것이라고 덧붙였습니다.
매튜 하 민주주의수호재단(FDD) 사이버 안보 담당 연구원은 27일 VOA에, FBI 등이 참여한 이번 경보는 김수키 조직이 노린 한국내 싱크탱크 등 전략적 표적들에 큰 비중을 뒀다고 분석했습니다.
[녹취:하 연구원] “Kim Suki has been known primarily for conducting international espionage, while the FBI alert has focused heavily, heavily on the South Korean government think tanks and other strategic targets. There's a very widespread linkage of various things that this group has been targeting.”
또한 김수키 조직은 주로 국제 간첩 활동을 수행해온 것으로 알려졌으며 현재 표적으로 노리고 있는 영역이 매우 광범위하게 연결돼 있다고 설명했습니다.
그러면서 김수키 조직이 한국내 코로나 백신 연구 제약회사들을 사이버 공격했다는 최근 한국 보안업계의 보고가 이를 뒷받침한다고 하 연구원은 주장했습니다.
김수키 조직은 지난 6월 한국 청와대 보안 메일을 사칭한 APT 공격을 한국내 미상의 표적들을 상대로 감행했고, 2014년 한국수력원자력을 해킹해 일부 기밀 자료를 유출, 공개한 바 있습니다.
한편 이번 합동 경보 보고서에는 추가 피해 예방 차원에서 김수키 조직이 그동안 사용한 해킹 수법과 사용된 파일명, 주요 도메인 등 7장 분량의 목록이 공개됐습니다.
보고서는 또 개인 혹은 단체들의 추가 피해를 막기 위해 사이버 보안상 각별한 주의를 기울이는 한편 보호 대책을 세울 것을 권고했습니다.
VOA뉴스 김시영입니다.
