대한민국의 주요 기관을 노린 사이버 스파이 활동이 발견됐다. Kimsuky로 명명된 이번 사이버 스파이 활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 대한민국의 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격으로 조사됐다.
 
카스퍼스키랩에 따르면, 이번 사이버 스파이 활동의 초기 징후는 2013년 4월 3일이었으며 Kimsuky 트로이목마 샘플은 2013년 5월 5일 최초로 발견되었다. 해당 샘플은 비교적 단순한 스파이 프로그램으로 몇 가지 기본 코딩 오류가 있었으며 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용한 것으로 밝혀졌다.
 
어떻게 감염 시켰는지에 대한 증거는 남아있지 않지만 카스퍼스키랩은 Kimsuky 악성코드가 스피어-피싱 이메일로 전달된 것으로 추정하고 있으며 키보드입력 기록, 디렉터리 목록 수집, 원격 제어, HWP 문서 유출 등의 작업을 하는 것으로 드러났다.
 
특히 Kimsuky 악성코드에는 HWP 파일만을 유출하는 전문 악성코드가 포함되어 있어 이번 해킹의 주요 목적이 HWP 문서 파일의 유출임을 보여주고 있다.
 
카스퍼스키랩에서 발견한 여러 단서들은 이번 스파이 활동을 한 공격자들이 북한인 임을 추측하게 하고 있다.
 
첫째는 해킹의 대상이 된 주요 기관의 면면이 이를 가리키고 있는데 국내외 정세를 연구하는 민간 기관, 국방정책 전반을 연구하는 정부출연 기관, 국적 해운 회사, 통일 관련 그룹 등 이었다.
 
둘째는 악성코드에 한국어로 된 문자열("공격"과 "완성" 등)이 있었다는 것.
 
셋째는 악성코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 "kim"으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록되었다는 것이다.

 
비록 이 이메일 등록 정보가 공격자를 구체적으로 단정지어 주지는 않지만, 공격자의 IP-주소는 이를 간접적으로 알려줬다.
 
공격에 10개의 IP 주소가 사용되었으며 모두 중국의 Jilin Province Network와 Liaoning Province Network의 것이었다. 이 지역에서의 일부 인터넷 회선은 북한에 연결된 것으로 추정되고 있기 때문이다.
 
Kimsuky 악성코드의 또 다른 지역적 특징은 안랩의 보안 제품만을 대상으로 해 그 일부 기능을 무력화한다는 점이다.
 
Kimsuky 사이버 스파이 활동에 대한 보다 자세한 리포트 전문은 아래 링크를 통해 확인할 수 있다. 
-www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=789
 
데일리시큐 길민권 기자 mkgil@dailysecu.com