Home > 전체기사

청와대 사칭 해킹메일 주범, 한수원 해킹조직 北 ‘김수키’ 유력

  |  입력 : 2016-01-15 23:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안전문가들, 이번 사건 한수원 해킹조직인 북한 ‘김수키’ 소행 추측
청와대 사칭 해킹메일, 2013년 킴수키 조직이 유포한 악성 메일 사례와 유사
메일 발송지는 중국 선양...불가리아, 인도, 벨기에 등 해외 거점


[보안뉴스 김경애] 청와대 사칭 악성메일 공격자가 한수원을 해킹했던 김수키(Kimsuky) 조직으로 분석돼 이목이 집중되고 있다.


현재 악성메일은 청와대 국가안보실, 청와대 외교안보실, 통일부 통일정책실, 외교부 정책관실 등을 사칭한 것으로 드러났다. 메일에는 북한 4차 핵실험과 관련해 의견을 개진해달라는 내용이 포함돼 있다.

이중에는 한수원 사건 때 공격한 감행한 계정이 이번에도 포착됐다. 2016년 1월 13일 발송된 메일 계정과 2015년 7월 2일에 발송한 메일 계정이 sntongil12으로 동일한 것으로 드러났다.

하우리 최상명 CERT실장은 “이번 청와대 사칭 해킹 메일의 발신자 계정이 한수원 해커조직인 김수키(Kimsuky)와 동일해 북한의 소행으로 추정된다”며 “과거 2013년 북한 킴수키 조직이 악성 메일 유포한 사례와 같은 방법이며, 사드(THAAD) 관련 내용으로 악성코드를 유포했던 계정과 동일하다”고 밝혔다. 즉, 한수원 해킹 공격 수법과 매우 유사하다는 얘기다.

일례로 ‘가능하시면 hwp문서로 1~X페지정도 되게 편집하여’를 비롯해 ‘고견을 주시면 고맙겠습니다.’ 등의 문구가 이전 공격 때와 동일하다는 것. 또한, 기존의 mail.bg는 물론 mail.be 등을 C&C(명령제어) 서버로 이용하고, 한글 취약점으로 악성코드를 유포해 정보를 수집하고 있다는 게 그의 설명이다.

북한에서는 ‘페이지’를 ‘페지’라고 하며, ‘홈페이지’는 ‘홈페지’, ‘시작페이지’도 ‘시작페지’라고 사용하는 것으로 알려졌다.

북한 추적 전문 연구그룹 가운데 한 곳도 이번 청와대 사칭 공격메일을 발송한 곳은 중국 선양으로 이들은 이미 수년 전부터 선양을 거점으로 작전을 수행하는 RSH(aka Kimsuky: 김수키) 팀이라고 지목했다.

또다른 보안전문가 역시 청와대 해킹 메일 주범은 김수키라고 본지를 통해 알려왔다. 이와 관련 해당 보안전문가는 “김수키 메일계정이 작년 9월에 발견 당시 영문으로 통일(tongil)이었으나 최근에는 햄버거(hamburger)로 변경했다”며 “IP 주소 역시 과거에는 불가리아였는데 최근에는 벨기에로 바뀌었고, 이전보다 코드도 많이 변경됐다”고 분석했다.

이들 조직은 대부분 한국과 중국, 불가리아, 인도, 벨기에 등 해외 거점을 경유해 자신들의 흔적을 숨긴다는 게 보안전문가들의 분석이다. 이들 중에는 한국에 지령(C&C) 서버를 구축한 다음, 불가리아 메일로 통신체계를 만들고, 한국 서버는 중국 선양에서 몰래 접속해 한국의 특정기관 및 기업 대상으로 공격 명령을 내린다. 이때 탈취한 정보들은 불가리아 서버로 전송된다.

이번 북한 추정 해커조직의 사이버공격은 지난해 말부터 진행됐으며, 2개의 작전명이 사용된 것으로 알려졌다.

한편, 이번 청와대 사칭 해킹메일 사건의 경우 경찰청 사이버안전국과 국정원 국가사이버안전센터 등이 합동 수사중이며, 압수수색을 통해 해당 메일이 얼마나 많이 수신됐는지 등을 조사할 방침이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협