北 해커 조직, 교란 작전? …타 조직 악성코드 이용 공격

[아이뉴스24 최은정 기자] 사이버 공격자들이 타 조직의 악성코드를 이용한 공격으로 교란 작전을 펼치고 있다.

지난해 12월 초 사이버 공격 조직 김수키(Kimsuky)가 국내를 대상으로 수행한 공격에서 추가 악성코드를 유포하기 위한 수단으로 타 조직 악성코드를 사용한 것으로 나타났다.

이는 해커가 보안 분석가들이 위협 배후를 제대로 분석하지 못하도록 하는, 일종의 방해 전략 중 하나로 해석된다.

10일 안랩 시큐리티대응센터(ASEC)는 올 1분기 보고서에서 김수키의 타깃 공격 사례를 분석한 결과, 이 같은 내용을 확인했다고 밝혔다.

김수키는 북한이 배후에 있는 것으로 추정되는 해커 조직이다. 안랩 ASEC에 따르면 이 조직은 지난 2013년 최초 발견된 이후 국내 주요 기관·기업 대상 타깃 공격을 가장 활발히 전개하고 있다. 정보 탈취 등을 목적으로 지속적인 공격을 시도하고 있으며, 군사 관련 분야뿐 아니라 정치·경제·사회 등 분야로 공격 대상을 확대하고 있다는 설명이다.

안랩이 발표한 이번 김수키 조직 공격은 그들이 직접 제작한 악성코드와 안다리엘(Andariel) 조직의 악성코드를 함께 사용했다는 점이 특징이다. 안랩은 해당 공격을 '오퍼레이션 고스트 유니온(Operation Ghost Union)'으로 명명하기도 했다.

먼저 김수키는 이메일에 악성 매크로가 포함된 엑셀 파일을 첨부해 공격 대상에게 전송했다. 그 후 악성코드를 기능 별로 나누고 이를 각각 백도어, 시스템 정보 수집, 키로거, 사용자계정컨트롤(UAC) 우회, 원격데스크톱프로토콜(RDP) 등 공격에 활용했다.

또한 여기서 수집된 정보는 해커의 명령제어(C&C) 서버로 전송됐다.

안랩 ASEC 측은 "최초 악성 엑셀 파일은 확보하지 못했다"면서도 "공격 대상 PC에 남아있는 흔적에서 해당 엑셀 파일이 실행된 후 추가로 악성코드(sen.a)가 생성된 것을 확인했다"고 설명했다.

이어 "이를 분석한 결과 코드 구조가 안다리엘 조직이 과거에 제작·유포한 악성코드와 유사도가 높았다"고 강조했다.

다만 이번 공격 배후에 김수키 조직이 있을 것으로 결론 지은 배경에는 악성코드(sen.a) C&C 서버가 최근까지 김수키 조직이 사용 중인 서버였다는 점, 이후 추가 악성코드 생성 과정에서 다운로드·실행한 악성코드(m1.a)가 김수키 조직이 제작한 것으로 확인된다는 점 등을 들었다.

한편, 보안 업계는 지난 1월 문정인 대통령 통일외교안보특별보좌관 강연 문건 사칭 악성 파일, 2월 신종 코로나바이러스 감염증(코로나19) 관련 지시사항을 가장한 악성 파일, 3월 스티븐 비건 미국 국무부 부장관 서신 위장 악성 파일, 지난 9일 21대 국회의원 선거 관련 악성 파일 등을 모두 김수키 조직이 감행한 공격으로 분석하고 있다.

최은정 기자 ejc@inews24.com