지니언스 시큐리티 센터(Genians Security Center, GSC)는 최근 북한의 사이버 공격 그룹인 김수키(Kimsuky)의 새로운 공격 전략을 분석한 결과를 발표했다. 이번 공격은 외신 통신사 소속 연구원 명의를 사칭해 북한 인권 활동가를 대상으로 한 스피어 피싱 공격으로 드러났다.

김수키 조직은 한반도 평화 관련 서면 인터뷰 요청을 가장하여 악성 HWP 문서 및 MSC 타입의 악성 코드를 사용해 내부 정보를 유출하려 했다. 특히, 이들은 HWP 문서와 DOC, PDF 아이콘으로 위장한 MSC 악성 파일을 사용해 피해자의 시스템에 침투했다.

GSC는 김수키 조직이 이탈리아에 위치한 C2 명령 서버와 통신하여 정보를 유출하는 것을 확인했다. 이러한 공격 방법은 중국의 '머스탱 판다(Mustang Panda)' 그룹에 의해 모방되었으며, 이들은 PlugX(aka KorPlug) 도구를 사용해 몽골을 공격하려는 정황이 포착되었다.

GSC는 김수키 조직의 공격 시나리오를 분석한 결과, 공격이 페이스북과 MS 관리콘솔을 활용한 정찰 단계에서 시작돼다고 밝혔다. 이후 이들은 스피어 피싱을 통해 은밀히 목표를 공격했으며, HWP 악성 문서와 함께 MSC 악성 파일을 사용해 내부 침투를 시도했다.

김수키 조직은 인터뷰 요청 이메일을 통해 북한 인권 활동가들과 정상적인 대화를 주고받으며 신뢰를 쌓았다. 이 과정에서 '인터뷰메모(2405).hwp'라는 악성 파일을 전달하며, OLE 개체 삽입 기능을 통해 추가 명령을 실행하도록 유도했다.

이들은 이메일 본문에 원드라이브(OneDrive) 클라우드 링크를 포함해 다양한 MSC 파일을 전송했다. 이러한 파일들은 다운로드 후 DOC나 PDF 문서처럼 보이도록 아이콘이 조작되었다. 예를 들어 '양자암호_기사(초안).msc', 'Pocantico Agenda_Jun 4-6.msc', 'Interview by Reuters(SeanKing).msc' 등의 파일이 사용되었으며, 이들 파일은 모두 동일한 원드라이브 계정을 통해 배포되었다.

GSC는 '인터뷰메모(2405).hwp' 파일을 분석한 결과, BinData 영역에 'BIN0001.OLE' 스트림 데이터가 포함되어 있음을 발견했다. OLE 파일은 문서가 열릴 때 임시폴더 경로에 'doc.bat' 이름의 배치 파일을 생성하고, 사용자가 특정 밑줄 영역을 클릭하면 추가 명령을 실행하도록 구성되었다.

MSC 파일의 경우, 안티 멀웨어 탐지를 회피하기 위한 다양한 방법이 사용되었다. 이들은 작업 스케줄러를 이용해 지속적인 명령 실행을 설정하고, C2 서버와의 통신을 통해 추가 명령을 수신했다. 이러한 공격 기법은 기존의 LNK 바로가기 유형의 악성 코드와 유사했으며, MS 관리콘솔 파일을 통해 더욱 은밀하게 이루어졌다.

GSC는 김수키 조직의 공격에 효과적으로 대응하기 위해 “EDR 솔루션을 통해 위협을 조기에 탐지하고 신속하게 대응할 수 있다. 특히, MSC 파일 기반의 공격을 탐지하고 대응하는 데 효과적이다. 특히 직원들에게 스피어 피싱 공격과 같은 사이버 위협에 대한 인식을 높이고, 의심스러운 이메일과 파일을 주의 깊게 확인하도록 교육해야 한다”고 강조했다.

또 “수신된 파일의 확장자를 유심히 살펴보는 습관을 길러야 한다. 특히, MSC 파일이나 실행 후 화면이 문서 파일처럼 보이는 경우 각별히 주의해야 하고 안티 멀웨어 탐지율이 낮은 파일 형식을 탐지할 수 있는 보안 솔루션을 강화하며, 지속적인 업데이트를 통해 최신 위협에 대응할 수 있어야 한다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★