이스트시큐리티 "北 추정 해킹조직, 통일부 사칭 사이버 공격 포착"

김한경 국방전문기자 입력 : 2019.05.20 16:12 |   수정 : 2019.05.20 16:12
  • 카카오스토리
  • 네이버밴드
  • 페이스북
  • 트위터
  • 구글플러스
  • 프린터
  • 이메일
  • 스크랩
  • 글자크게
  • 글자작게
▲ 이스트시큐리티 블로그 김수키 조직 관련 자료. [자료제공=이스트시큐리티]

시큐리티대응센터 "김수키 APT 공격…리오넬 메시 유사 계정명도 발견“

[뉴스투데이=김한경 국방전문기자] 북한과 연계된 것으로 추정되는 해킹조직 ‘김수키’가 최근 통일부를 사칭해 사이버 공격을 한 것으로 파악됐다.

김수키 조직의 최신 APT 공격은 가짜로 한국기관을 사칭했고, 아르헨티나 유명 축구선수이자 FC바르셀로나 소속의 '리오넬 메시'와 유사한 계정명도 발견됐다.

20일 보안 전문기업 이스트시큐리티의 시큐리티대응센터(ESRC) 블로그에 따르면, 북한 연루 의심 해킹조직 ‘김수키(Kimsuky)’가 지능형지속위협(APT) 공격인 ‘오퍼레이션 페이크 스트라이커(Operation Fake Striker)’를 감행한 사실이 최근 포착됐다.

김수키는 북한 배후설이 제기되는 해킹조직으로, 이번 공격은 통일·외교·안보 관련 분야 등에서 활동하는 사람들을 대상으로 한 것으로 보인다고 ESRC는 추정했다.

ESRC는 지난 15일쯤 최신 APT 공격을 받은 것으로 의심된다는 제보를 받고 캡처 화면을 분석한 결과, 통일부 정세분석총괄과 발신 명의로 위장된 사실과 한반도 비핵화 대화 재개 추진 현황 참고자료처럼 꾸며진 내용을 파악했다.

제목에서 한국 정부기관을 사칭한 이메일은 통일·외교·안보 분야 등에서 활동하는 이들을 대상으로 송신된 것으로 추정되며, 송수신자 계정 모두 동일한 포털사 이메일 서비스를 활용해 ‘메일서버 등록제(SPF)’ 등을 통한 사전 차단을 어렵게 만들었다.

더불어 흔적이 남거나 외부에 신고 되지 않도록, 이메일을 확인 후 꼭 삭제하라는 당부의 표현도 잊지 않았다. 특히 기한을 정해 회신을 유도하는 등 관심 유발과 심리적 압박을 통해 첨부 파일을 바로 열어 보도록 유도했다.

첨부된 참고자료는 악의적 코드를 포함한 악성 HWP 문서파일이었다. 이 ‘참고자료.hwp’ 파일은 10자리의 특정 암호문자가 설정돼 있으며 문서 작성자는 ‘임병철’, 마지막 저장자는 유명 축구 선수 리오넬 메시와 유사한 ‘MESSI’ 계정이 사용됐다.

ESRC는 김수키 조직의 사이버 위협 활성도가 매우 높고 ‘스피어 피싱’과 ‘워터링 홀’ 등 상황에 맞는 공격 벡터를 적절히 구사하고 있다며 발견되지 않은 사건들이 훨씬 많을 것이라고 설명했다.


BEST 뉴스

비밀번호 :
메일보내기닫기
기사제목
이스트시큐리티 "北 추정 해킹조직, 통일부 사칭 사이버 공격 포착"
보내는 분 이메일
받는 분 이메일

주요기업 채용정보