북한 김수키 해킹조직, SNS 악용해 APT 공격

CheifEditor

CheifEditor

6 min read
북한 김수키 해킹조직, SNS 악용해 APT 공격
[페이스북 메신저를 통해 이메일 접근 시도 화면 <이미지: 지니언스>

북한 사이버 공격 조직 김수키의 APT(지능형지속위협) 공격이 포착됐다. 이들은 지난 3월~4월까지 한국내 페이스북, 이메일, 텔레그램 이용자를 노리고, 두 개의 페이스북 계정을 통해 정찰과 공격대상을 탐색한 것으로 드러났다.

페이스북으로 접근했던 공격 사례 경우, 'Transitional Justice Mission' 계정을 통해 대북 분야 종사자에 온라인 친구 신청을 하고, 메신저로 대화를 신청했다.

공격자는 본인 신분을 특정 교회의 전도사나 연구원의 목사처럼 소개하면서, 공격 대상 인물의 페이스북 메신저로 교묘히 접근했다. 이후 특정 문서를 공유하는 것처럼 관심을 유발해 상대방에게 악성파일을 전송했다.

악성파일은 EGG 압축 포맷에 비밀번호가 설정된 형태로 전달된다. 이들은 또 다른 페이스북 계정을 도용해 공격에 활용했다. 소유자 정보 기반으로 보면, 공군사관학교 출신으로 자신을 소개했다.

위협활동 시점에 해당 페이스북 프로필은 한국인 남성 추정이었으며, 일정 기간 후에는 프로필 사진이 제거됐다.

이때는 탈북민 자원봉사활동 내용으로 현혹해 공격대상자에게 접근을 시도했다. 그리고 페이스북 메신저로 직접 악성파일을 전달하거나, 수차례 대화를 통해 또 다른 방식으로 악성파일 전달 방식을 선택했다.

이메일(E-Mail) 기반 공격 사례의 경우 김수키는 페이스북 메신저 대화로 알아낸 공격 대상자 이메일 주소를 통해 추가 접근을 한다. 1:1 대화를 통해 이메일 주소를 물어보고, 악성파일에 접근하도록 유인했다.

페이스북 계정 두 곳 모두 공격 대상자에 유사한 방식으로 접근했다. 각기 다른 페이스북 계정이 쓰였지만, 비슷한 시기에 유사한 방식과 활동 모습들로 보아 동일 인물 가능성이 높다.

공격에 쓰인 악성파일 역시 동일한 형태로 분석됐고, '탈북민 지원 봉사 활동' 공통된 키워드로 수신자를 현혹했다.

공격에 쓰인 스피어 피싱 화면을 살펴보면, 대용량 첨부파일이나 본문에 별도의 URL 링크를 삽입해 파일을 받도록 구성했다.

EGG 압축포맷을 사용했고, PC 환경에서 특정 압축해제 프로그램을 사용하도록 안내했다. 이는 윈도우 기반 악성파일이기 때문이다. 스마트폰과 같은 모바일 디바이스에서 열람하는 것을 제한하기 위한 유인 조치다.

텔레그램(Telegram) 기반 접근 사례 경우도 공격에 쓰인 악성파일 역시 동일한 형태로 분석됐고, 공통적으로 '탈북민 지원 봉사 활동'이라는 일관된 주제로 수신자를 현혹했다. 특정인 대상 공격 흐름을 조사 결과, 위협 행위는 페이스북과 이메일로 초기 접근을 시도했다.

만약, 공격 대상자의 스마트폰 번호까지 알고 있을 경우 텔레그램으로 메시지를 전달했다. 다른 온라인 메신저가 쓰일 수도 있다. 이처럼 위협 행위자는 적극적인 공격 행동을 보이고 있다. 이처럼 탈북민을 상대로 한 공격수법이 다양해지고 있다.

텔레그램까지 공격 흐름을 보면, 특정 소유자 단말을 먼저 해킹했을 가능성이 높다. 그 다음 피해자를 감시하면서 평소 사용 중인 SNS나 E-Mail 계정 정보를 훔쳐낼 수 있다.

이렇게 페이스북 권한을 가로채기해, 마치 원래 소유자처럼 신분을 위장한다. 이미 오래전에 가입됐던 페이스북이라 주변의 의심이 낮은 편에 속한다. 온라인 친구 관계를 악용한 위협 활동은 외부에 노출되기 어렵다. 특히, 메신저를 통한 1:1 대화 방식은 매우 은밀하게 진행된다는 점에서 보다 각별한 주의가 필요하다.

이처럼 공격자는 페이스북, 이메일, 텔레그램 등 다양한 수법을 공격에 동원하고 있다는 점을 명심해야 한다. 갑자기 전달받은 URL 주소나 파일에는 위협요소 포함 가능성을 항상 염두에 두고 대비해야 한다. 평소 의심하고 주의하는 보안 습관이 중요하다.

이메일 기반 스피어 피싱 공격은 여전히 위협 활성도가 높은 수준을 유지하고 있다. 대상자의 이메일 주소만 알고 있다면, 신속하고 은밀한 맞춤형 공격이 가능하기 때문이다. 거기에 사회 관계망 서비스와 개인 메신저까지 공격방법과 수단은 다양하게 쓰인다. 이들은 전통적 보안 제품의 탐지를 회피하기 위해 스크립트 패턴을 다변화하고 있다.

지니언스는 "보안 관리부서는 각종 위협 요소를 능동적으로 대응해야 한다"며 "각 단말의 주요 이벤트 보관을 통해 특정 기간에 발생했던 과거 기록 조회하고, 이를 통해 증거데이터 확보와 원인파악을 확보하는 등 보안 위협에 대비할 것"을 당부했다.

. 김수키 그룹의 3단 콤보 위협 분석 - 지니언스, 2025.6.9
. 北 김수키 해커그룹, '블루샤크' 전술로 APT 공격 감행 - 보안뉴스, 2024.10.5
. 북한 해킹 조직, 국내 건설·기계·지자체 대상 공격 급증 - 지티티코리아, 2024.8.6
. 북한 해킹조직의 건설·기계 분야 기술절취 주의 - 대검찰청 사이버수사과, 2024
. 북한 정권을 위해 정보·기술 탈취해 온 해킹조직 '김수키' 겨눈다 - 외교부, 2024
. 독일 방산업체 해킹 시도한 北 '김수키', 한국 노렸나? - 디지털데일리, 2024.10.6
. 김수키 보관 - ASEC, 2024

Read more

예스24, 개인정보 유출 대표 사과

예스24, 개인정보 유출 대표 사과

랜섬웨어 공격으로 전사 시스템이 마비된 예스24의 김석환, 최세라 대표가 16일 공식 사과했다. 김석환, 최세라 대표는 "예스24는 고객의 신뢰 위에서 성장해 온 플랫폼"이라며 "이번 사고로 인해 그 신뢰가 흔들린 점을 무겁게 받아들이며, 현재 모든 역량을 동원해 피해 복구와 신뢰 회복에 전념하고 있다"고 밝혔다. 이번 사태는

By CheifEditor
이 대통령, "AI 등 첨단산업 100조원 투자할 것"

이 대통령, "AI 등 첨단산업 100조원 투자할 것"

💡Editor Pick - 제21대 대통령 취임, AI3대 강국 진입 대선 공약 - 대규모 국민펀드 조성하여 국내 첨단저략산업에 100조원 집중 투자 - AI 데이터센터, 국가대표 거대언어모델, AI 접근권 이재명 대통령이 다시 성장하는 나라를 위해 인공지능(AI), 반도체 등 국내 첨단전략산업에 100조원을 집중 투자하겠다고 밝혀 새 정부가 앞으로 실천해나갈 정책 과제에 관심이

By CheifEditor
악성코드 설치하는 MySQL 서버 공격 주의!

악성코드 설치하는 MySQL 서버 공격 주의!

💡Editor Pick - MySQL 서버에 대한 Brute force / Dictionary Attack - 공격 후, UDF/GhostRAT/XWorm, HpLoader, Zoho ManageEngine 등의 악성코드 설치 MySQL은 대표적인 데이터베이스 서버다. 기업, 사용자 환경에서 대량 데이터 관리 기능을 제공한다. 그런데 최근 외부에 노출되거나, 관리가 소홀한 MySQL 서버를 노린 공격이 지속적으로 포착되고 있다. 공격자는 스캐닝을 통해

By CheifEditor
CCTV, 연간 3백건 이상 개인정보 침해

CCTV, 연간 3백건 이상 개인정보 침해

①CCTV 수칙, 사생활 공간 CCTV 설치 금지 ②공개장소에 CCTV 설치 시 안내판 부착 ③정보주체의 개인영상정보 열람 요구 시 10일 내 대응해야 개인정보 침해신고 중 CCTV 관련 신고 건수 비중이 커졌다. 특히 ‘CCTV 개인영상정보 열람 요구’가 크게 증가한 것으로 나타났다. 개인정보위에 따르면 개인정보 침해신고 중 CCTV 관련 신고건수는 2023년 520건,

By CheifEditor