안랩, 김수키 동향 보고서…"약성코드도 다변화, 제로데이 취약점도 노려"
(서울=연합뉴스) 오규진 기자 = 북한 해커조직 '김수키'는 지난해 사이버 공격 표적을 먼저 설정한 뒤에 고도화된 수법으로 해킹하는 사이버 공격 방식을 택한 것으로 드러났다.
안랩[053800]은 이런 내용을 담은 '김수키 그룹 2022년 동향 보고서'를 위협 인텔리전스 플랫폼 '안랩 팁'에 24일 공개했다.
먼저 김수키는 지난해 특정 개인이나 단체 등 공격 대상을 미리 정하고 시도하는 피싱 공격인 '스피어피싱' 수법으로 좌담회, 자문요청서, 연구 결과보고서 등을 위장한 악성 문서를 제작했다.
안랩은 "문서나 이메일 등을 실제와 구별이 어려울 정도로 정교하게 제작한 것으로 미뤄볼 때 치밀한 사전 조사를 수행했을 것"으로 추정했다.
공격에 활용하는 악성코드도 웹브라우저 내 각종 정보를 유출하는 '인포스틸러' 악성코드, 원격제어 악성코드인 'RAT' 등으로 확대했다. 그간 김수키는 키보드 움직임을 탐지해 정보를 탈취하는 악성코드 '플라워파워'나 백도어 악성코드 '애플시드'를 주로 사용해왔다.
김수키가 마이크로소프트 오피스의 취약점 '폴리나'를 노린 악성코드를 유포한 사실도 확인됐다. 폴리나는 지난해 1월 발견된 제로데이 취약점으로, 6월에 소프트웨어 보안패치를 마쳤다.
안랩은 "김수키는 앞으로도 공격 수법을 다변화할 것으로 보인다"면서 "최신 사이버 위협 정보를 습득하고 보안 수칙을 일상에서 실천해야 한다"고 조언했다.
김수키는 2014년 한국수력원자력을 해킹한 것으로 알려졌으며, 공공기관이나 외교·안보 분야 전문가, 가상화폐 등을 노린 사이버 공격을 다수 시도했다.
acdc@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
