AI 쓰는 북한 해킹그룹 김수키…VS코드·원격관리 도구 악용 작성일 05-14 37 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="3B99c7b0vc"> <figure class="figure_frm origin_fig" contents-hash="6808cc0725a1820684ebe59f985bd94b799d497ee24e3be86b74555d28580a2f" dmcf-pid="0b22kzKplA" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202605/14/552796-pzfp7fF/20260514093929153gluh.jpg" data-org-width="640" dmcf-mid="FwssukrNvk" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202605/14/552796-pzfp7fF/20260514093929153gluh.jpg" width="658"></p> </figure> <p contents-hash="e8e6dd3a13a96c5429a60884e5ca35e88180cffb49c89e3e7384d97bc934dad3" dmcf-pid="pKVVEq9UTj" dmcf-ptype="general">[디지털데일리 김보민기자] 북한 연계 해킹 조직 '김수키'가 인공지능(AI) 기반 악성코드 개발과 비주얼스튜디오코드(VS코드)와 같은 정상 소프트웨어를 악용하고 있다는 분석이 나왔다.</p> <p contents-hash="b01b33fec17c6a654a4e6ab59c50af13787ea0f66ee11ee332db3c8996e51f63" dmcf-pid="Uhvv9OlwvN" dmcf-ptype="general">글로벌 사이버 보안 기업 카스퍼스키는 김수키 최신 공격을 분석한 보고서를 14일 발표했다.</p> <p contents-hash="3e251c98ffafb302f0e85f00d847ca450374d61e73c3fed73b1ee8f41daa2f8c" dmcf-pid="ulTT2ISrTa" dmcf-ptype="general">이번 보고서는 '페블대시(PebbleDash)'와 '애플시드(AppleSeed)' 등 두 악성코드 클러스터의 진화 양상과 연관성을 중점 분석했다.연구진은 최근 수개월간 김수키 활동을 집중 분석해 악성코드 개발과 침투 방식에서 새로운 전술 변화를 확인했다고 밝혔다.</p> <p contents-hash="9856fa619248dff5f17e81cb59e8ee9a518c2a711f047bbb3480501c82a1f4bb" dmcf-pid="7SyyVCvmyg" dmcf-ptype="general">핵심 변화는 세 가지다. 먼저 신종 악성코드 '헬도어(HelloDoor)' 코드 내부에서 이모지가 포함된 주석과 문법 오류 등이 발견돼 대형언어모델(LLM)을 활용해 악성코드를 개발한 정황이 포착됐다. 김수키가 AI 기술을 공격 도구 제작에 본격 활용하기 시작했음을 보여준다.</p> <p contents-hash="1da552ae9c971611c6a6abcd52d1d2cc2c2ae51d0e95c17f46bf913c00a80193" dmcf-pid="zvWWfhTsWo" dmcf-ptype="general">VS코드 원격 터널링 기능과 원격 관리 도구(RMM)인 'DWAgent'를 악용해 정상 소프트웨어 기반 원격 접속 채널을 구축한 점도 포착됐다. 정상 프로그램을 활용하기 때문에 보안 솔루션 입장에서 탐지가 어렵다는 점이 특징이다.</p> <p contents-hash="e36e883ed4c96a528b0469958d2205e7f09be21ecc799596bc09b0a8c2121b39" dmcf-pid="qTYY4lyOyL" dmcf-ptype="general">애플시드 악성코드에서 정부 공인 전자인증서(GPKI)가 저장된 디렉토리를 수집한 기능도 확인됐다. 인증서 유출 시 공무원 계정 도용과 정부 시스템 침해 가능성이 제기된다.</p> <p contents-hash="3567ed92ac12762bf5b76692145ab1b70e4a179c20a3b2027c218d173e609369" dmcf-pid="ByGG8SWIhn" dmcf-ptype="general">김수키는 2013년부터 활동한 한국어 기반 지능형지속위협(APT) 그룹으로, 맞춤형 스피어피싱 이메일 제작에 특화돼 있다. 자체 악성코드를 사용하며 공개 원격 액세스 트로이목마(RAT)도 활용한다.</p> <p contents-hash="e5739cf4410a0df2b07deeef289f0559ce1ee247314ad8040df7e172d36dcc47" dmcf-pid="bWHH6vYCTi" dmcf-ptype="general">김수키는 스피어피싱 이메일과 메신저를 통해 악성 첨부파일을 전달한 것으로 나타났다. 첨부파일은 JSE, EXE, PIF, SCR 형식 드로퍼(Dropper)로 구성되며 제품 견적서, 채용 공고, 정부 문서, 개인 사진 등으로 위장돼 있었다.</p> <p contents-hash="124f2272061ffcd493ee2a07e933cb04c67d0c863abe102744db6cf834c3bee4" dmcf-pid="KYXXPTGhTJ" dmcf-ptype="general">헬도어는 김수키가 사용한 최초의 러스트(Rust) 기반 DLL 백도어다. 클라우드플레어 터널링 서비스를 이용해 명령·제어(C2) 서버를 숨기고 통신 데이터를 암호화할 수도 있었다.</p> <p contents-hash="0b30048f61d7ed1bae6061f12933b5593d893adf83ee35cc97a945db3ab3e01d" dmcf-pid="9GZZQyHlyd" dmcf-ptype="general">김수키는 VS코드 원격 터널링 기능을 악용해 깃허브(GitHub) 인증 기반 원격 접속 채널을 구축하고, 슬랙 등으로 상태 정보를 전송하는 기능도 사용했다. DWAgent 역시 사전 설정 파일과 함께 배포해 설치 즉시 원격 세션이 활성화되도록 구성했다.</p> <p contents-hash="9931d61d9cea9eeb1aa3665f6dbe16c35ebc4759e44f4f368331f721094747ba" dmcf-pid="2t00JZFYye" dmcf-ptype="general">카스퍼스키는 김수키가 한국 무료 도메인 호스팅 서비스 '내도메인.한국'과 터널링 서비스 등을 활용해 공격 인프라를 은닉하고 있다고 설명했다. 피해 대상에는 군 관계자, 정부 공무원, 방산업체 직원, 언론인, 통신사 직원 등이 포함됐다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 전원주 며느리 “한강뷰 집, 부모 도움 없었다”…전세 이사만 7번 하다 재건축 ‘로또’ 05-14 다음 "주민등록등본 발급해줘"…AI 국민비서, 이제 말로 민원 처리한다 05-14 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
