[ⓒ 픽사베이]

[디지털데일리 김보민기자] 북한 배후 해킹조직 김수키가 올 하반기 이메일 발신 주소를 바꿔가며 피싱 공격을 시도한 것으로 나타났다. 북한과 러시아의 6월 정상회담을 기점으로 양국 간 '주고받기'가 이뤄진 점을 시사하는 부분이다.

6일 지니언스시큐리티센터(GSC) 12월 위협분석 보고서에 따르면, 김수키는 올 한 해 이메일 수신자의 호기심을 자극하는 방식으로 피싱 위협을 가했다. 올 초에는 파일저장 클라우드 서비스 '네이버 마이박스(MYBOX)'를 사칭해 "바이러스 위협 감지", "휴면계정 전환 사전 안내", "악성행위 검출", "악성의심 파일 업로드" 등을 담은 미끼 메일을 보내 사용자 계정 정보 탈취를 시도했다.

북한 배후 해킹조직이 이메일 피싱 공격을 시도한 것은 낯선 일이 아니다. 지난 5월에는 일본 외무성 관리로 위장해 자유아시아방송(RFA) 기자에게 점심식사를 제안한 스피어피싱 위협 사례가 공개되면서 파장이 일기도 했다. 스피어피싱은 특정 개인, 조직, 회사를 대상으로 가해지는 맞춤형 피싱 공격을 뜻한다.

GSC는 네이버 마이박스를 테마로 활용한 피싱 공격의 경우, 발신지 도메인이 올해 하반기를 기점으로 변경된 점을 주목해야 한다고 보고 있다. 분석 결과에 따르면 피싱 도메인은 올 초 일본과 미국에서 발신된 것처럼 보이다 5월부터 9월 초까지 한국 서비스 'cafe24.com'가 발신지로 사용됐다. 이후 9월 중순부터 'mmbox.ru' 등이 발신지로 관찰되기 시작했다. '.ru'는 러시아 도메인으로, 10월에는 또 다른 도메인 'ncloud.ru'가 포착됐다.

네이버 마이박스(MYBOX)를 내세워 피싱 공격을 시도한 사례 [ⓒ지니언스시큐리티센터]

북한과 러시아가 정치·외교적인 맥락에서 협력 관계를 강화하고 있다는 점을 고려하면 이례적인 현상이다. 김정은 북한 국무위원장과 블라디미르 푸틴 러시아 대통령은 지난 6월 평양에서 정상회담을 열고 포괄적 전략동반가 협정에 서명했고, 양국 간 거래가 동맹 수준까지 나아갔다는 평가가 제기되기도 했다.

일각에서는 하반기 북한 병력이 러시아에 파견되면서 일종의 주고받기가 이뤄졌을 가능성이 점쳐지고 있다. 공격에 자주 쓰이는 발신 주소의 경우 보안 시스템이나 이메일 서비스 제공사로부터 자동 차단되는데, 탐지 회피 기법으로 러시아 도메인을 실험적으로 사용했을 가능성이 있다는 취지다.

GSC 분석에 따르면 김수키가 활용한 러시아 도메인 2개는 모두 조작됐다. 해당 도메인은 피싱 이메일 발송기 '스타(star) 3.0'을 통해 허위로 등록된 것으로 나타났다. GSC 측은 "해당 메일 내부코드를 분석해 보면, 'evangelia.edu' 사이트가 발송해 사용된 흔적을 확인할 수 있다"고 말했다.

발송 사이트를 운영하는 곳은 미국 사립대학교인 에빈겔리아대다. 한국인 선교사 출신 총장이 이끌고 있는 이 대학 웹사이트에는 실제로 피싱메일을 보낼 수 있는 메일 시스템(이하 메일러)가 존재했다. 메일러 이름은 'star 3.0'로, 이번 김수키 해킹 시도에서 포착된 도구와 동일하다.

다만 해당 러시아 도메인의 경우 에반겔리아대 메일러를 활용했지만, 실제 발송 거점은 한국인 것으로 파악됐다. 마치 러시아 발송처럼 위장했지만 실제 공격 거점은 국내였던 것이다. GSC는 "미국도 러시아도 아닌 한국에서 발송됐고, star 3.0 메일러를 통해 러시아 위장 전략을 구사했다"며 "이후 전자문서 사칭 유형에서 실제 러시아 이메일 서비스를 다수 사용하게 된다"고 설명했다.

최근 비상계엄령 선포와 해제로 국내 사회가 혼란에 빠진 만큼, 김수키는 물론 북한 배후 해킹조직이 공격 기법을 고도화할 가능성도 배제할 수 없는 상황이다. 공격방식이 독창적으로 진화하고 있다는 평가 또한 지배적인 만큼, 개인은 물론 기업과 기관 측면에서도 보안 태세를 강화할 때라는 이야기도 나온다.

보안기업 레코디드퓨처에 따르면 2009년부터 2023년까지 약 15년 동안 북한 배후 공격조직이 전개한 사이버 위협 중 김수키 공격 사례가 가장 많았고 라자루스, APT37, APT38, 안다리엘 등이 뒤를 따랐다. 이들 조직은 정보 탈취, 외화벌이 등의 목적으로 한국에서 포착된 취약점을 공략하는 방식으로 공격을 가하고 있다.

GSC는 "악성파일을 전달하지 않는 김수키 그룹의 피싱 캠페인이 잇따라 발생하고 있다"며 "일각에서는 악성파일 없이 위험도를 낮게 평가하기도 하는데, 이러한 피싱 캠페인은 피해자 사생활을 감시하거나 또 다른 침투 통로로 활용될 수 있다"고 경고했다.

제2·3차 공격 또한 배제할 수 없다고 강조했다. GSC는 "피해자 계정을 도용해 지인이나 관계자에 대한 후속 공격으로 이어질 수도 있다"며 "금융기관이 발송한 공식 문서처럼 사칭해 평소 의심하지 않고 열람할 수 있다는 점에서 각별한 주의가 필요하다"고 말했다.