북한 정부 후원 해킹그룹으로 잘 알려진 김수키(Kimsuky) APT그룹이 러시아 연구원과 전문가들을 상대로 사이버 공격을 진행하고 있는 것으로 조사됐다.

‘김수키’ 그룹은 잘 알려진 유명 인사의 이름을 도용해 피싱 이메일을 발송해 해킹을 시도했다. 김수키 해킹그룹은 러시아가 한반도 외교에 영향력을 가지고 있으며, 러시아 전문가들이 북한측이 알고 싶어하는 비공식 정보들을 가지고 있을 것이라는 판단하에 사이버 공격을 실행한 것으로 보인다.

보안기업 프루프포인트(Proofpoint)에 따르면, 김수키 그룹이 북한과 관련된 러시아 외교정치 분야 전문가 그리고 러시아 민간기업을 상대로 사이버 공격을 수행한 흔적을 발견했다.

분석 내용에 따르면, 북한 해커가 발송하는 피싱 메일에는 로그인을 유도하는 링크가 포함되어 있다. 해당 로그인 창은 암호로 보호된 네트워크 공유 윈도우 팝업과 유사하다. 사이버 공격자의 계획은 피해자가 로그인 하도록 유도하는 것이다. 이후 계정정보를 탈취한다.

피싱 메일은 브릭스(BRICS, Brazil, Russia, India, China, South Africa) 연구위원장 게오르기 톨로라야 명의로 대량 발송되고 있다.

지난 2021년 8월, 바이러스에 감염된 러시아어 파일이 발견되었다. 여기에는 2010년 극동 러시아-한반도 간 지역 경제협력 파일과 2021년 러시아에서 진행된 제23회 러시아-몽골 간 무역경제 및 과학기술 분야 위원회 파일도 포함됐다.

그룹 IB의 의견에 따르면, 김수키 APT해킹그룹은 최근 1년 한국뿐만 아니라 한국을 지원하는 국가에 대한 사이버 스파이 활동을 적극적으로 수행해왔으며, 2020년에는 러시아 방산기업 및 산업 분야 기업 상대로 사이버 공격을 수행했다.

김수키 APT해킹그룹은 연구기관의 특정 관리자 및 직원의 계정을 통해 의도적으로 공격대상에게서 기밀문서 절취를 시도 하고 있다. 또한 감염된 컴퓨터를 봇넷에 연결시키거나, 암호화폐의 지갑을 훔칠 수도 있다.

보안전문가들은 “북한 김정은과 도널드 트럼프 전 미국 대통령 간 정상회담이 2019년 진행될 즈음 김정은의 러시아 국빈방문을 포함해 한반도 지역의 외교 동향이 활발해졌다. 이러한 과정에서 북한 정보기관 측이 러시아 정부가 북한에 대해 어떤 입장을 취하고 있는지를 알아내기 위해 정보가 필요했을 것이다. 또한 북한 외교정치 전문가들 중 누군가가 한반도 관계자들과 접촉해 비공식적으로 어떤 주제를 논의하고 있는지를 파악하려 했을 가능성이 있다”고 전했다. [정보제공. 씨엔시큐리티 SIPS]

★정보보안 대표 미디어 데일리시큐!★