북한과 연계된 해킹 그룹인 김수키(Kimsuky)가 페이스북 메신저를 악용해 정교한 악성 코드 캠페인을 벌이고 있다. 이번 공격은 기존의 전술에서 벗어나 소셜 미디어 플랫폼을 활용한 새로운 사회공학적 공격 방식으로 진화했음을 알 수 있다.

사이버 보안 기업 지니언스 시큐리티 센터(이하 GSC)에 따르면, 김수키 해커들은 북한 인권 분야에서 활동하는 공무원으로 가장한 가짜 페이스북 계정을 만들어, 반북 활동을 하는 인권 운동가와 관계자들을 표적으로 삼고 있다. 이 접근 방식은 전통적인 이메일 기반 스피어 피싱 공격과는 달리 페이스북 메신저를 이용해 개인적인 대화로 위장해 타깃이 악성 콘텐츠에 더 쉽게 반응하도록 유도한다.

해커들은 원드라이브에 호스팅된 "My_Essay(prof).msc"나 "NZZ_Interview_Kohei Yamamoto.msc" 같은 개인적이고 민감한 문서로 보이는 파일을 메시지로 전송하고, 친숙한 아이콘을 사용하여 무해한 워드 문서로 위장된 MSC 파일이다. 즉 실제로는 정교한 악성 코드를 실행하도록 설계된 파일인 것이다.

피해자가 MSC 파일을 Microsoft Management Console(MMC)로 열면, 콘솔 화면에 워드 문서가 표시된다. 이 문서를 실행하면 일련의 명령이 실행되어 공격자가 제어하는 서버("brandwizer.co[.]in")와의 연결이 설정된다. 이 서버는 구글 드라이브에 호스팅된 또 다른 문서("Essay on Resolution of Korean Forced Labor Claims.docx")를 표시하는 한편, 백그라운드에서 지속성을 설정하고 정보를 수집하는 명령을 수행한다.

악성 코드는 배터리 및 프로세스 정보, IP 주소, User-Agent 문자열, HTTP 요청의 타임스탬프 데이터를 수집해 C2 서버로 전송한다. 이 서버는 수집된 데이터를 바탕으로 추가 페이로드를 전달할 수 있는 기능도 갖추고 있다.

GSC는 이번 캠페인의 전술, 기법, 절차(TTP)가 2023년 5월 센티넬원(SentinelOne)이 상세히 분석한 ReconShark와 같은 과거 김수키 활동과 유사점이 있다고 강조했다.

자주 사용되지 않는 MSC 파일을 선택한 것은 기존의 사이버 보안 방어 체계를 피하려는 의도적인 시도로 보이며, 이러한 파일을 워드 문서로 위장함으로써 감염 성공 가능성을 높이고 있다.

이번 캠페인은 APT 공격 그룹이 공격 벡터를 다양화하는 최근 트랜드의 일부로 보여진다. 2024년 1분기에 스피어 피싱은 한국에서 보고된 APT 공격 중 가장 흔한 방법이었다. 그러나 소셜 미디어를 통한 은밀한 공격도 점점 더 증가하고 있다.

GSC 관계자는 “소셜 미디어를 활용한 공격은 보안 모니터링에 쉽게 탐지되지 않으며, 피해자가 인지하더라도 외부에 거의 보고되지 않는다"라며 "따라서 이러한 개인화된 위협을 조기에 탐지하는 것이 매우 중요하다."고 강조했다.

이번 새로운 캠페인의 영향은 한국과 일본을 넘어 전 세계의 활동가와 조직에도 영향을 미칠 수 있다. 신뢰를 구축하고 악성 코드를 전달하기 위해 소셜 미디어를 사용하는 이러한 공격 방법에 대응하기 위해 특히 정치적으로 민감한 분야에서 일하는 사용자들은 각별한 주의를 기울여야 할 상황이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★