"오탐이니 안심하라"…김수키 연계 의심 해킹, 개인정보 유출 빌미로 기업 담당자 노린다 작성일 06-15 44 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="zqmTHooMTJ"> <figure class="figure_frm origin_fig" contents-hash="1c057a42c18daca7eafb16ebc25f54ebe1b3eabcb61f3d9035325b6e72a20c6e" dmcf-pid="qBsyXggRCd" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/15/552796-pzfp7fF/20260615112045965uoor.jpg" data-org-width="640" dmcf-mid="7EB6R55TCi" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/15/552796-pzfp7fF/20260615112045965uoor.jpg" width="658"></p> </figure> <p contents-hash="65d3cc3db2cf1adc87cd40b56bae0b024eb90881cb3cab874543a6bb1e03805b" dmcf-pid="BbOWZaaehe" dmcf-ptype="general">[디지털데일리 박재현기자] 북한 연계 해킹 조직 킴수키(Kimsuky)가 올해 상반기 기업 채용 담당자·암호화폐 투자자·방위산업 관계자 등을 표적으로 삼은 스피어피싱 캠페인을 연달아 벌이고 있는 가운데, 이번엔 기업 개인정보 담당자가 새 표적이 됐다.</p> <p contents-hash="ad824aea851b6aec4a44b9a7fcc48111849655c6dbd72211d87e20e02594700d" dmcf-pid="bKIY5NNdyR" dmcf-ptype="general">개인정보 유출 의심이라는 민감한 소재를 악용해 기업 담당자를 노린 스피어피싱 공격을 포착했다. 북한 연계 해킹 조직 킴수키의 전형적인 공격 패턴과 높은 유사성을 보인다는 게 분석 결과다.</p> <p contents-hash="37b3b8d2dcffaaafa8fc13306cfa219ee3de15ee1d467e15fb59e4bb60649150" dmcf-pid="KEbPe11yCM" dmcf-ptype="general">이번 공격은 불특정 다수에게 악성코드를 살포하던 과거 방식과 다르다. 공격자는 국내 기업 정보보호 담당자에게 "개인정보가 유출된 것 같으니 확인해 달라"는 고객 문의 메일로 접근해 자연스러운 대화를 이어가다 악성 파일을 전달했다.</p> <p contents-hash="fa11ff8b1a7a8ce7d04a772ef21f22af246b8ebb7f5f8c0a5cfaf229d99c3e9a" dmcf-pid="9DKQdttWvx" dmcf-ptype="general">첫 번째 시도에서 악성 링크가 보안 솔루션에 차단되자 "자체 보안팀 검사 결과 이상 없으며 오탐지로 보인다"고 안심시킨 후, 동일한 악성코드를 암호 설정 압축 파일로 재전송하는 치밀함까지 보였다.</p> <p contents-hash="b912dc38cbf883fb34fc840466274efe53399affacf63636925e76bdf34a3261" dmcf-pid="2w9xJFFYCQ" dmcf-ptype="general">사용자가 압축을 풀고 일반 문서로 위장된 악성 윈도우 바로가기(LNK) 파일을 실행하면 백그라운드에서 32비트 파워쉘이 강제 호출된다. 탐지를 피하기 위해 64비트 대신 SysWOW64 경로의 32비트 파워쉘을 강제 호출하고, 파워쉘 경로를 코드에 직접 적지 않고 실행 시점에 검색해 찾아내는 방식으로 정적 분석을 우회한다.</p> <p contents-hash="ec2feb3853d5f7f3e2a78777c442d4a5587d5b4c2f90b685e791f7cb7bdf9ef7" dmcf-pid="Vr2Mi33GvP" dmcf-ptype="general">화면에는 정상 엑셀이나 PDF 고객현황 문서가 표시되지만, 실제로는 시스템 정보를 탈취하고 추가 악성 행위를 수행하는 구조다.</p> <p contents-hash="8bee99a9a5c312d08fb4894e93da44cdba98932a45f17ec07afe4ad4a18ea830" dmcf-pid="fmVRn00HS6" dmcf-ptype="general">이스트시큐리티 대응센터(ESRC)가 수집한 악성 샘플 3종을 분석한 결과, 초기 침투 방식은 동일하되 감염 이후 명령제어(C2) 단계에서 두 가지 프레임워크로 나뉘는 특징이 확인됐다. 샘플 1·2는 정상 클라우드 서비스인 드롭박스 API를 명령제어 서버로 악용해 감염 PC의 외부 IP·운영체제 버전·실행 프로세스 목록 등을 탈취한다. 보안 장비 차단을 우회하기 위해 정상 서비스 뒤에 숨는 방식이다.</p> <p contents-hash="bb2e48a96c2f45d50bd4d0c588bca8149cc20634d19185914a2da44255409ead" dmcf-pid="4sfeLppXT8" dmcf-ptype="general">샘플 2는 여기에 가상머신·샌드박스 탐지 기능과 드롭박스 인증 실패 시 자동 증거 인멸 기능까지 추가된 업그레이드 버전이다. 샘플 3은 공격자가 직접 운영하는 HTTPS 서버와 통신하며, 시작프로그램 폴더에 'Anlab Auto.vbs'라는 파일명으로 국내 보안 소프트웨어 자동 업데이트처럼 위장해 지속성을 확보한다.</p> <p contents-hash="679e30aed70302d5af514139da73b463819231c54e39fb4fecce983ce7edbfba" dmcf-pid="8O4doUUZC4" dmcf-ptype="general">3개 샘플은 명령제어 방식이 달라도 'Pan' 계열 캠페인 식별자와 한국어 미끼 문서를 공통으로 사용했다.</p> <p contents-hash="1702457deabed7e1a2e4ecaf61acce5df8c2d1666f8318aafc25758f252478a4" dmcf-pid="6I8Jguu5Sf" dmcf-ptype="general">ESRC는 ▲개인정보 유출 명분을 내세운 정교한 사회공학 ▲LNK 파일을 통한 공통 침투 체인 ▲정상 클라우드와 자체 도메인을 병행한 다중 명령제어 인프라 ▲국내 보안 소프트웨어 위장 등 킴수키의 전형적 특징이 공통으로 확인됐다고 밝혔다.</p> <p contents-hash="efd0f4cfbf7c4091f26ec612fe46cb4dc225f0fa2c70595b9daeadf4b61e6acf" dmcf-pid="PlQLjqqFhV" dmcf-ptype="general">단일 IOC(도메인·해시·파일명)는 캠페인 간 거의 공유되지 않아 IOC 기반 차단만으로는 대응에 한계가 있다.</p> <p contents-hash="9c1a96528440253bb48c09a48b1e39e03714d7cdf84be0bee025c830c8bdca08" dmcf-pid="QSxoABB3S2" dmcf-ptype="general">ESRC 관계자는 "보안 솔루션이 한 번 차단한 파일에 대해 상대방이 오탐이라며 암호 압축 파일로 재전송하는 경우는 명백한 공격 신호"라며 "윈도우 탐색기에서 '알려진 파일 형식의 파일 확장명 숨기기' 옵션을 해제하고 실행 전 실제 확장자를 반드시 확인하는 습관이 필요하다"고 당부했다.</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털데일리. All rights reserved. 무단 전재 및 재배포 금지.</p> 관련자료 이전 티맥스티베로, 무중단 비즈니스 위한 차세대 사이버 복원 전략 제시 06-15 다음 “탈탄소화, 에너지 전환 핵심 '히트펌프' 기술 육성해야” 기계연, 기계기술정책 발간 06-15 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.