Home > 전체기사

북한의 킴수키, 두 개의 하위 그룹으로 나뉘어 활동한다

  |  입력 : 2021-05-10 12:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한국에서의 주요 해킹 사건을 일으키는 북한의 APT 킴수키가 두 개의 하위 그룹으로 나뉘어 활동한다는 사실이 최근 블랙햇 아시아 행사에서 드러났다. 둘은 공격 도구와 전략에서 큰 차이를 보이고 있지만 주로 한국을 노린다는 점에서는 같다.

[보안뉴스 문가용 기자] 북한의 APT 해킹 단체인 킴수키(Kimsuky)가 새로운 전략과 기술을 활용하기 시작했다는 내용의 보고서가 발표됐다. 특히 킴수키가 두 개의 하위 그룹으로 나뉘어 공격을 실시하고 있다는 내용이 눈에 띈다. 이 두 그룹은 현재 클라우드드래곤(CloudDragon)과 킴드래곤(KimDragon)으로 불린다.

[이미지 = pixabay]


2020년 10월 미국 정부가 발표한 보고서에 의하면 킴수키는 최소 2012년부터 활동을 시작한 공격 단체다. 주로 소셜엔지니어링, 스피어피싱, 워터링홀 공격 기법을 사용하며, 일본, 한국, 미국의 단체들로부터 정보를 빼가는 것이 주요 목적인 것으로 알려져 있다. 한국에서는 한수원을 공격했던 것으로 유명하다.

킴수키를 오랫동안 추적해 왔던 연구 팀인 팀티파이브(TeamT5)의 지린 쿠오(Jhih-Lin Kuo)와 진싱 라오(Zin-Cing Lao)는 가상 공간에서 열린 보안 대회인 블랙햇 아시아(Black Hat Asia)에서 “킴수키가 최근 두 개의 하위 그룹으로 나뉘어 활동하고 있는 것을 보인다”고 발표하며 “이 두 그룹은 공격 표적과 사용하고 있는 멀웨어와 공격 인프라가 전부 다르다”고 밝혔다.

이 두 그룹 중 2013년 카스퍼스키(Kaspersky)가 공개한 킴수키는 킴드래곤이며, 굵직한 사건을 일으키며 각종 헤드라인을 장식하고 여러 보안 업체들의 보고서에 등장한 킴수키는 클라우드드래곤이라고 한다. “킴드래곤과 클라우드드래곤은 가끔 자원을 공유하곤 하지만, 대부분 서로 다른 영역에서 활동을 합니다. 예를 들어 한국의 정부 기관과 교육 기관, 대학과 연구 기관들을 주로 공격한다는 것은 둘이 비슷합니다. 하지만 두 그룹이 사용하는 멀웨어는 전혀 다릅니다.”

두 연구원이 집계한 멀웨어 현황은 다음과 같다.
1) 클라우드드래곤 : 트로이밤(TroiBomb), 로스트미(RoastMe), 잼보그(JamBog) 혹은 애플시드(AppleSeed), 베이비샤크(BabyShark), 동멀랫(DongMulRAT) 혹은 와일드커맨드(WildCommand)
2) 킴드래곤 : 러벡스(Lovexxx) 혹은 골드드래곤(GoldDragon), 진호스파이(JinhoSpy) 혹은 내브랫(NavRAT), 보보스틸러(BoboStealer) 혹은 플라워파워(FlowerPower), 마이어스크립트(MireScript)

그 외에도 클라우드드래곤은 한국을 넘어 일본과 유럽연합 국가들, 미국에도 손을 뻗쳤다. 킴드래곤도 공격 대상을 추가하긴 했지만 인도 단 하나에 그쳤다. 클라우드드래곤은 금융, 에너지, 하이테크, 우주항공, 방산업 등 다양한 곳을 공격하기도 했다. 킴드래곤은 산업별로 활동 영역을 넓히지는 않았다.

두 연구원은 클라우드드래곤에 특별히 더 많은 시간과 노력을 투자했다. “클라우드드래곤은 공급망 공격, 플랫폼 교차 공격, 새로운 유형의 피싱 캠페인을 실시할 정도로 변화무쌍한 모습을 최근 보여주기 시작했습니다. 공급망 공격은 실행이 결코 쉽지 않은 유형의 공격인데 이걸 해내고 있다는 건 이들의 실력이 최근 업그레이드 됐다는 걸 알 수 있습니다. 진화가 계속 이뤄지고 있는 것이죠.”

연구원의 발표에 의하면 클라우드드래곤은 2020년 8월과 10월 사이에 한국의 암호화폐 기업 한 곳을 겨냥해 공급망 공격을 실시했다고 한다. 공격자들은 노린 건 하드웨어 지갑이었다. 하드웨어 지갑은 보안이 꽤나 튼튼한 편에 속하는 요소이긴 하지만, 인터넷을 통해 블록체인에 접속하기 위해서 소프트웨어 요소를 보유하고 있어야만 한다는 특징을 가지고 있다. 클라우드드래곤은 이런 소프트웨어의 악성 버전을 개발해 공식 웹사이트를 통해 배포하기 시작했다.

윈도 기반 사용자들이 주요 표적이었지만 모바일 사용자들을 노리기도 했다. 구글 플레이 스토어에 악성 앱을 올리기도 했던 것이다. 쿠오는 “APT 단체들 전부가 스마트폰을 집중적으로 연구하고 있는데, 클라우드드래곤도 예외는 아닌 것으로 보인다”고 설명한다. 클라우드드래곤 공격자들은 침투에 성공한 뒤 피해자의 장비에서 셸 명령어를 실행하거나 각종 정보를 탈취했다. 위치를 추적하거나 음성을 녹음하기도 했다.

그 외에 클라우드드래곤이 최근 들어 흥미로운 피싱 기법을 활용하는 것도 밝혀졌다. “공격자들이 피싱 웹사이트에 필요한 콘텐츠를 자동으로 채워 넣기 시작했습니다. 이 콘텐츠는 정상 사이트에서 가져오는 것이고요. 피해자가 악성 링크를 클릭해서 피싱 사이트가 열릴 때마다 실제 정상 웹사이트로부터 콘텐츠를 가져옵니다. 피해자의 클릭과 함께 실시간으로 공격이 이뤄진다는 것이죠. 실제 웹사이트의 최신화 된 내용이 그대로 반영되기 때문에 피해자가 속을 확률이 더 높아집니다.”

3줄 요약
1. 북한의 킴수키, 두 그룹으로 나뉘어서 활동하는 중.
2. 킴드래곤은 2013년 정체가 드러났고, 클라우드드래곤은 유명한 사건들 일으킨 주범.
3. 둘의 공통점은 ‘주요 표적이 한국’이라는 점. 나머지 부분에서는 차이 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)