주한미군 부대에 파견된 워게임 업체 직원 대상 악성 전자우편 보내
북한 해킹조직인 ‘김수키'(Kimsuky)가 한미연합연습을 노려 사이버 공격을 시도한 정황이 확인됐다.
경기남부경찰청 안보수사과는 한미 연합 군사연습인 ‘프리덤 실드(자유의 방패·FS)’ 전투모의실에 파견된 국내 워게임(War Game) 운용업체 A사 직원들을 대상으로 지난 2월부터 3월까지 수차례 발송된 악성 전자우편 사건을 수사한 결과 김수키의 소행으로 파악됐다고 20일 밝혔다.
김수키는 지난해 4월부터 A사를 해킹하기 위해 악성코드가 담긴 전자우편 공격을 지속한 끝에 지난 1월 A사 소속 행정 직원의 전자우편 계정을 탈취하고, 컴퓨터에 악성코드를 심는 데에 성공했다.
▲ 이미지 출처 : 해킹 공격 개요도, 경기남부경찰청 제공
김수키는 이후 원격 접속을 통해 A사의 업무 진행 상황과 전자우편 송수신 내용을 실시간으로 들여다보고, 소속 직원들의 신상정보를 가로챈 것으로 드러났다.
김수키는 탈취한 자료를 바탕으로 지난 2월 연말정산 시기에 맞춰 원천징수 영수증으로 위장한 전자우편을 프리덤 실드 전투모의실에 파견된 A사 직원들에게 보냈다.
이를 받은 A사 직원들은 전자우편에 첨부돼 있던 파일을 실행하려 했으나, 전투모의실이 위치한 주한미군 부대에서는 미 국방 전산망의 통제를 받기 때문에 보안시스템에 의해 해당 파일이 열리지 않았다고 한다.
수사 결과 군 관련 정보가 김수키 측에 흘러 들어간 정황은 나타나지 않았다.
다만 일부 직원이 해당 전자우편을 외부의 개인 전자우편 계정으로 재전송해 열람했고, 이 과정에서 개인용 컴퓨터가 악성코드에 감염된 사례가 있었다고 경찰은 설명했다.
경찰은 지난 3월 미군 수사기관과 정보 공유를 통해 피해를 확인한 후 수사에 착수, 해킹 공격에 사용된 아이피(IP)가 2014년 김수키가 벌인 ‘한국수력원자력 해킹 사건’에서 사용된 IP 대역과 일치하는 사실을 파악했다.
▲ 이미지 출처 : 연말정산 위장 악성 전자우편, 경기남부경찰청 제공
아울러 기존 공격과 유사성, ‘념두’ 등 북한식 어휘 사용, 한미연합연습 시기(3월 13~23일) 등 전반을 고려할 때 이번 사건 역시 김수키의 소행인 것으로 판단했다.
경찰은 오는 21일부터 31일까지로 예정된 ‘을지 프리덤 실드'(을지 자유의 방패·UFS)를 한 달여 앞둔 지난달 미 육군 인사처를 사칭한 전자우편이 주한미군 한국인 근무자들에게 발송된 사실을 추가로 확인하고, 미군 수사기관과 공조 수사를 계속하고 있다.
경찰 관계자는 “군 관련 정보가 유출되지는 않았으나, A사 직원들의 이메일 주소 등 개인정보가 탈취돼 피해가 없다고 할 수는 없다”며 “지난달 미 육군 인사처 사칭 전자우편의 바탕이 된 자료 역시 2~3월 A사 직원의 개인용 컴퓨터에서 탈취한 자료를 토대로 만든 것으로 추정된다”고 말했다.
한편 김수키는 2014년 한국수력원자력 해킹 사건으로 유명세를 산 북한 해킹조직이다.
우리 정부는 지난 6월 2일 김수키를 독자 대북 제재 명단에 올렸다.
지난해 국내 외교·안보 분야 관계자들에게 대량 유포된 ‘피싱 메일’도 김수키의 소행인 것으로 최근 확인된 바 있다.
▲ 이미지 출처 : 북한식 어휘가 사용된 문구, 경기남부경찰청 제공
기사 출처 : 연합뉴스(https://www.yna.co.kr/view/AKR20230818133200061?input=1195m)
—
공공기관에 대한 북한 해킹 조직의 공격이 계속되고 있는 가운데 이들은 워드나 PDF 파일을 첨부파일에 전달하는데요. 이런 파일들은 악성 인터넷주소(URL)에 존재하는 스크립트 코드가 실행되도록 되어 있어 중요한 정보 등이 유출될 수 있습니다. 따라서 이런 파일들을 사전에 필터링 할 수 있는 보안 프로그램이 필요한데요. 차세대 보안 솔루션 시큐레터는 문서 기반의 해킹 공격을 정확하고 빠르게 선제 방어할 수 있어 해킹 공격에 최적환 된 솔루션입니다.
시큐레터가 독자 개발한 리버스 엔지니어링 기술은 시그니처 기반 솔루션과 APT 솔루션의 보안 사각지대를 해소하는 3세대 방어 악성코드 기술로 시스템을 역으로 분석하여 동작 과정을 파악하고 취약점 동작을 검사하여 행위 기반 탐지 우회 공격, 알려지지 않은 Zero-day 공격, 악성코드를 정확하게 진단 및 차단합니다. 이제는 공공기관 뿐만 아니라 해킹 공격이 일반 제조기업에게까지 발을 넓히고 있기 때문에 무엇보다 빠른 선제적 대응이 중요한 시점입니다. 피플러스는 점점 심각해져 가는 해킹 공격에 대응할 수 있도록 보안 전문가가 정책 설정부터 솔루션 구축까지 친절하게 안내해 드립니다.
![[주간 IT/보안뉴스] 2024년 5월 첫째주 ‘생성형 AI, 이젠 온 디바이스 AI로 보안 강화’](https://pplus.co.kr/wp-content/uploads/2024/05/300-title-20240503-500x383.png)
![[주간 IT/보안뉴스] 2024년 4월 넷째주 ‘SW로 연결되는 초연결 시대의 사이버 보안’](https://pplus.co.kr/wp-content/uploads/2024/04/20240426-title-300-500x383.png)
![[주간 IT/보안뉴스] 2024년 4월 셋째주 ‘사이버 위기에 따른 보안 시스템 고도화’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240419-title-500x383.png)