[디지털데일리 최민지기자] 최근 북한 정찰총국 산하 해커조직 '김수키(Kimsuky)'가 독일 방산업체 해킹을 시도했다.

지난달 27일(현지시간) 독일 매체 슈피겔 등에 따르면 김수키는 독일 방산업체 딜디펜스에서 무기 관련 정보를 탈취하려고 시도했다. 공격 조직은 딜디펜스 지원에게 보안 분야 일자리를 제안하는 문서를 보낸 후, 악성 소프트웨어를 심으려 한 방식을 채택했다.

딜디펜스는 공대공 미사일 이리스-T(IRIS-T)를 만드는 방산기업이다. 이리스-T는 한국형 초음속전투기 KF-21에 장착되는 만큼, 관련 기밀을 노린 것 아니냐는 의구심도 제기된다. 이에 정부와 국내 관계 기관은 사실 확인에 나선 상황이다.

이미 국내 방산업체는 북한 해킹조직에게 자료 유출 등 피해를 입은 바 있다. 경찰청 국가수사본부는 김수키를 비롯한 라자루스 등 주요 북한 해킹 조직 공격으로 국내 방산업체 10여곳이 자료를 유출 당했다고 지난 4월 발표한 바 있다.

김수키는 한국에서 지능형지속위협(APT) 공격을 지속적으로 펼치고 있는 대표적인 북한 해킹 조직이다. 독일에선 일자리를 제안하는 방식으로 대상에게 접근했지만, 국내에선 인터뷰나 특강·강연 의뢰 등으로 위장해 접근하는 방식도 주로 사용하고 있다.

◆北 김수키, 한국 대상으로도 APT 공격 지속 감행…"일상 속 정상업무처럼 접근"

지니언스시큐리티센터(GSC)에 따르면 최근 김수키는 강연의뢰, 특강, 인터뷰 질문지 등으로 위장해 클라우드로 악성파일을 전송하는 '블루샤크' 전술에 스피어시핑 공격 시나리오를 사용하고 있다.

실제 사례를 보면, 지난해 5월 탈북민 출신 대북기업 대표와 한국 내 북한인권단체 대표는 대학의 특정 연구원이 운영하는 글로벌 아카데미 특강 의뢰처럼 사칭한 강의 의뢰 메일을 받았다. 본문에는 강의의뢰서 첨부파일이 보안방식 메일로 전달된 것처럼 설명돼 있고, 해당 문서는 docx·PDF 문서로 보여져 정상 문서처럼 여겨진다.

하지만, 클릭하면 피싱사이트 유도를 위한 웹페이지가 나타난다. '보안메일보기' 링크를 클릭하면, 수신자가 사용하는 이메일 서비스에 따라 모방된 피싱화면을 보여준다. 피싱페이지에 속아 이메일 주소와 비밀번호를 입력하면, 공격자 구글 계정으로 준비된 구글 드라이브로 연결된다. 계정정보 유출 사실을 숨기기 위해 정상적인 강의 의뢰서 문서화면까지 보여준다. 이후 공격자가 설정한 악성 명령이 실행된다.

지니언스시큐리티센터(GSC)는 "일상적 정상업무 내용처럼 접근해 올 경우, 수신자 입장에서 위험성을 판단하기 어려울 수 있다"며 "위협 행위자들은 이 점을 노리고 있으며, 회신과 반응에 따라 본격적인 단말 침투 공격에 돌입한다"고 말했다.