‘UN 대북제재위원회’ 사칭 악성파일 주의 … ‘김수키(Kimsuky)’ 추정

실제 ‘남북교류협력지원협회’에서 실제 발행된 문서로 위장하여 공격
‘UN 대북제제위원회 전문가패널 보고서.hwp’ 클릭 시 공격자 C&C와 통신해 정보탈취

6일, 데이터보호 기업 ‘소만사’는 북한 해킹그룹 ‘김수키(Kimsuky)’가

실제 대한민국 기관에서 작성된 문서양식을 그대로 복제, 위장하여 공격한 행위가 포착됐다고 밝혔다.

‘김수키’는 타깃을 겨냥하여 해킹공격을 수행하는 집단으로 알려져 있다.

금번에는 HWP 문서를 악용하여 공공기관과 공기업을 타깃으로 삼았다.

‘김수키’가 공격수행을 위해 유포한 파일 ‘UN 대북제재위원회 전문가패널 보고서.hwp’는

실제 남북교류협력지원협회 ‘UN 대북제재위원회’에서 주기적으로 발행하는 문서와 이름과 형식이 같다.

‘김수키’는 이를 사칭하여 공격 대상에게 발송, 클릭을 유도했다.

해당 파일 열람시 악성행위가 실행되며 해커는 감염PC의 정보를 탈취하게 된다.

악성코드에 감염된 PC는 주로 키로깅, 스크린샷, 파일유출 등의 위험에 노출된다.

원격제어 기능까지 포함되어 있을 경우 PC제어권까지 넘어가 더 큰 피해가 발생할 수 있다.

금번에 유포된 파일은 공격자의 C&C에 접속해 공격자의 명령을 유동적으로 수행할 수 있는 기능이 포함되어 있었다.

소만사는 ‘김수키’의 공격행위를 지속적으로 모니터링, 분석하여 보고서를 공개했다.

본 보고서를 통해 ‘김수키’의 공격특성을 공유하고 동일공격을 예방 및 차단할 수 있도록 상세내용을 서술했다.

문서형 악성코드’에 대응, 예방할 수 있는 방안은 크게 세 가지로 요약된다.

첫번째는 신뢰할 수 없는 메일의 첨부파일 실행은 금지하는 것이다.

두번째는 행위기반 악성코드 차단 솔루션을 도입하는 것이다(소만사 Privacy-i EDR 외).

세번째는 민감정보를 보유하고 있는 기업/기관은 망분리를 시행하여

PC가 악성코드 감염되었더라도 외부 해커와 통신이 불가능하도록 하여 더 이상 추가적 악성행위가 없도록 대비하는 것이다.

‘김수키의 UN 대북제재위원회 사칭공격’ 분석 리포트는

현재 소만사 악성코드 블로그(https://blog.naver.com/best_somansa)에 공개되어 있다.