‘스피어피싱의 왕’ 김수키 그룹, 알게 모르게 실수도 잦아

입력 : 2020-03-11 20:44

한국의 김재기, 곽경주, 장민창 연구원이 수년 동안 추적...김수키의 취약점 발견
코드 재사용, 아래아한글의 무기화, C&C 서버 재사용, 크리덴셜 관리 부족 등

[보안뉴스 문가용 기자] 바이러스 백신 프로그램 검증 및 랭킹 사이트인 바이러스 불레틴(Virus Bulletin)에, 북한의 김수키 해킹 그룹에 대한 내용이 ‘스피어피싱의 왕’이라는 제목으로 공개됐다. 우리나라 금융보안원에 소속된 김재기, 곽경주, 장민창 연구원들이 수년 동안 추적해낸 결과물이다.


먼저 김수키(Kimsuky)는 2014년 한수원 공격을 감행하며 보안 업계에 이름을 알리기 시작한 북한의 공격 단체다. 이들은 ‘아래아한글’로 만들어진 악성 문서를 통해 공격을 실시했으며, 한수원 이후 여러 한국 정부 기관들을 침투해왔다. 전부 아래아한글 소프트웨어에 있는 취약점을 활용해 멀웨어를 심고자 하는 ‘스피어피싱’ 형태의 공격이었다. 보다 최근인 2019년 1월에는 통일부 출입 기자들을 노린 스피어피싱 공격을 감행하기도 했다.

김재기, 곽경주, 장민창 연구원은 보고서를 통해 “김수키 그룹을 추적하며 메일 전송 도구와 각종 멀웨어를 획득하는 데 성공했다”며 “이들이 사용하는 도구는 크게 서버 사이드 툴킷과 멀웨어로 분류할 수 있다”고 설명했다. 서버 사이드 툴킷은 “메일러, 비커너(beaconer), 피셔(phisher), 로거(logger)로 분류된다”고 한다. 멀웨어는 “드로퍼(dropper), 스크립트(script), 인포스틸러(infostealer)로 나뉜다.”

“메일을 보내는 데 사용되는 툴킷은(메일 전송 도구) 여러 공격에 반복적으로 사용됐습니다. 또한 피싱 페이지를 만들 때 공격자들은 원래 사이트의 소스코드를 재사용하되 URL에서 특정 아규먼트를 사용하는 모습을 보여줬습니다. 멀웨어의 경우, 드로퍼는 악성 한글파일 내에 숨겨져 있을 때가 많고, 악성 스크립트는 추가 멀웨어를 C&C로부터 받아 설치하는 역할을 하며, 인포스틸러는 이름 그대로 정보를 탈취하고 추가 멀웨어를 설치하는 것으로 분석됐습니다.”

그 외에 비커너는 메일이 열람되고 있는지 확인하는 기능을 가지고 있으며, 피셔는 계정 탈취를 위한 피싱 페이지 제작 시에 사용되는 것으로 연구원들은 밝혔다. 로거는 피해자의 정보를 로깅하는 역할을 하고 있다.

김수키 그룹은 ‘종전선언’, ‘일일 일본 동향’과 같은 제목의 HWP 문서를 미끼로 사용함으로써 많은 피해자들의 ‘클릭’을 유도해 냈다고 하며, 여러 캠페인에 사용된 인포스틸러 멀웨어의 경우 FTP를 사용해 추가 멀웨어를 다운로드 하기도 했다. 원래는 SFX 파일인데 HWP인 것처럼 위장된 경우도 있었다. FTP를 활용하는 공격의 경우 김수키 그룹은 호스팅어(Hostinger)라는 호스팅 업체의 무료 서비스를 사용해 C&C 서버를 구축했는데, 계정 이름과 비밀번호가 노출되는 바람에 연구원들이 깊은 분석을 이어갈 수 있었다고 한다.

그 외에도 연구원들은 김수키 그룹이 사용한 툴셋과 C&C 서버의 관계를 분석하기도 했다. 예를 들어 gyjmc.com이라는 도메인에는 메일러, 비커너, 피셔, 로거 등이 호스팅 되어 있었고, C&C 서버는 daum-settings.hol.es, member-authorize.com, snu-mail-ac-kr.esy.es, uefa2018.000webhostapp.com 등에 마련되어 있는 것으로 분석됐다. 이 중 member-authorize.com는 또 다시 ddlovke.kr과 연결되어 있었고, 이는 다시 military.co.kr에 마련된 C&C 서버와도 연결되어 있었다. 몇 가지 C&C 서버가 계속해서 재사용되고 있음이 파악되었다.

흥미로운 건 김수키 그룹이 사이버 공작을 실시하면서 여러 가지 실수를 저질렀고, 이 실수를 파악한 연구원들이 사실상 해킹과 같은 방법을 사용해 이들을 추적해왔다는 것이다. “김수키 그룹은 코드와 C&C 서버를 재사용해왔고, FTP 계정의 비밀번호를 평문으로 저장해두기도 했습니다. 디렉토리 목록을 노출시키기도 했지요. 이 때문에 추적과 조사를 보다 용이하게 할 수 있었습니다.”

보다 상세한 기술 정보는 바이러스 불레틴 웹사이트(https://www.virusbulletin.com/virusbulletin/2020/03/vb2019-paper-kimsuky-group-tracking-king-spearphishing/)를 통해 열람이 가능하다.

연구원들은 “남북한의 특수한 상황이 지속되는 한 김수키 그룹은 이전에 했던 악성 사이버 작전들을 계속해서 펼칠 것”으로 예상하고 있으며, “계속해서 그래왔던 것처럼 악성 아래아한글 문서와 이메일 계정 탈취 공격을 앞으로도 사용할 것으로 보인다”고 결론을 내리고 있다. 하지만 “이들 역시 작전 수행 중 실수를 하고 있으며, 이를 통해 역추적을 허용한다”며 “이를 통해 꽤나 중요한 정보들을 취득할 수 있다”고 귀띔을 하기도 했다.

“이러한 정보(그들이 실수로 노출시킨 정보)를 통해 다음 공격은 어떤 방식으로, 어디서 이어질 것인지, 어떤 전략을 주로 사용하며, 앞으로 어떻게 바뀔지, 이전 공격과 비교했을 때 어떤 침해지표가 발생하는지 등을 유추할 수 있습니다. 이번 연구 보고서가 김수키 그룹의 공격을 방어하는 데 효과적으로 활용되기를 바랍니다.”

3줄 요약
1. 한국의 정보 끊임없이 탈취해가는 ‘스피어 피싱 공격의 왕’, 김수키 그룹.
2. 공격 중 남긴 취약점 통해 ‘역해킹’하니, 코드와 C&C 재사용, 크리덴셜 관리 미흡 등의 취약점 발견됨.
3. 이런 식으로 공격자에 대한 정보 모아지면 방어하는 데에 더 효과적.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  2024년 3월 악성코드 공격 동향 분석해보...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...