아시아 대상 사이버위협 조사 전문업체인 대만의 TeamT5사가 지난주 싱가포르에서 열린 ‘블랙햇아시아 컨퍼런스’에서 북한 킴수키 그룹에 대한 최근 연구 결과를 공유했다.

킴수키 그룹은 이미 널리 알려져 있으며 미국 CISA가 FBI 등 유관기관과 공동으로 특정 짓고 있는 그룹이며 TeamT5의 연구는 올해 들어 킴수키에 관한 업계의 첫번째 발표이다.

TeamT5는 킴수키 그룹은 단일 그룹에서 분리되어 두 그룹으로 나뉘었고 각자 다른 타겟을 대상으로 별도로 운영되는 것으로 보인다고 밝혔다. TeamT5는 이들은 각각 ‘클라우드드라곤’과 ‘킴드라곤’으로 명명하고 공격 대상 국가와 해킹툴 들을 소개했다.

TeamT5는 발표를 통해 첫번째로 킴수키 그룹이 공급망 공격에 집중하고 있다는 것을 밝혀냈다. 타겟은 암호화폐이며 거래소와 소유자의 디지털지갑이다. 이를 위해 킴수키그룹은 PC, Android 및 iOS의 운영 체제 조합을 광범위하게 사용하는데 현재 포탈업체들이 사용자 인증을 위해 PC와 모바일을 동시에 교차 인증하는 데 착안, 동일 악성코드가 다른 사용환경에서도 동작되도록 개발한다는 것이다.

TeamT5 관계자는 지난해 10월 국내 K 암호화폐 해킹사건에 김수키 그룹이 관여한 증거를 도식화해 제시했다. 이에 따르면 탈취된 암호 화폐는 네덜란드 IP 주소로 송금하여 세탁에 사용된 것으로 알려졌다. 안전하다고 알려진 하드웨어 지갑까지 해킹된 것으로 알려졌다.

또한 이들은 다음, 네이버, 구글과 같은 포털 사이트의 가짜 로그인 유도 계정을 주로 노린다는 것이다. 사용자는 미끼 파일 및 해킹된 웹 사이트를 통해 새로운 사용자 자격 증명 업데이트 메일을 받을 수 있다. 마이크로소프트 윈도우 업데이트 알림조차도 예비 공격에 사용되었다. 서울에 위치한 Y대, E대, D대와 같은 대학 로그인 웹사이트가 해킹에 이용된 것을 확인했다.

킴수키 그룹은 PC뿐만 아니라 모바일 환경 공격으로 중심을 이동한 것으로 밝혀졌다. 이들이 만든 소위 '잠복' 에이전트는 휴대폰 피해자 몰래 SMS 메시지를 만들기도 하고 작성한 문자를 전송하고 파일을 업로드한다. 오디오나 비디오 촬영 등 사용자 의지와 관계없이 장악된 휴대폰으로 무슨 일이든 할 수 있다는 것이다. 암호 화폐가 휴대폰에 보관되어 있거나 휴대폰을 통해 로그인할 경우 해킹에 너무 쉽게 노출될 수 있다는 것이다.

아시아 대상 APT 전문 조사기업인 TeamT5의 인텔리젼스 정보를 국내에 서비스하고 있는 에스에스앤씨 한은혜 대표는 “오랜 기간 개별 해커그룹의 활동을 추적해 온 데이터베이스를 바탕으로 이들의 움직임을 미리 간파하여 사이버보안에 대처해야 할 때”라며 “많은 위협 인텔리젼스 정보 중에서 아시아에 특화된 인텔리젼스 정보를 입수해 향후 사이버공격에 대응해야 한다”고 강조했다.

자세한 발표자료는 에스에스앤씨의 웹싸이트 자료실에 공개되어 있다.

★정보보안 대표 미디어 데일리시큐!★