북한 해킹 조직으로 알려져 있는 김수키(Kimsuky) 조직의 스피어피싱 메일이 심각한 보안 위협이 되고 있다.

하우리(대표 김희천)에 따르면, 이번에 확인된 스피어피싱 메일은 2023년 1월부터 10월까지 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개로 400여명 이상의 국내를 비롯한 해외 주요 기관에 소속된 인사에게 발송됐으며, 실제 공격에 사용된 서버와 계정은 파악된 수보다 휠씬 더 많을 것으로 판단하고 있다.

이번에 확인된 북한 해킹 조직의 스피어피싱 메일은 국내∙외를 막론하고, 연구기관 및 대학교 등을 대상으로 광범위하게 배포되었다.

특히 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭하여 은밀하고 자연스러운 스피어피싱 메일을 지속적으로 보냈다.

확인된 스피어피싱 메일들은 감염 대상에게 악성코드를 바로 첨부해서 보내는 것이 아니라, 새해맞이, 크리스마스 같은 안부메일이나 회의요청, 미팅요청, 자문요청, 전문가 의견요청 등으로 초기 미끼(Decoy)메일을 발송한 후 수신인이 관심을 보이는 응답메일을 보내왔을 때, 악성코드를 발송했다.

회신이 없는 경우는 더 이상 추가 공격을 하지 않거나 메일 열람을 유도하는 재촉메일도 발송하는 치밀함도 보였다.

피싱 계정의 발신내역과 수신내역을 확인한 결과, 평균 25% 정도의 응답율이 확인됐다.

여기서 말하는 응답율은 수신자가 스피어피싱 메일을 받고 의심없이 발신자에게 회신을 메일을 보낸 수치이다.

메일 수신자가 회신메일을 보냈지만, 실제로 악성코드에 감염되었는지의 여부는 알 수 없다.

다만, 회신메일을 보낸 사용자라면 시스템 감염이 이루어졌을 가능성이 높다.

스피어피싱에 사용된 메일은 아래와 같은 메일제목(Subject)으로 초기 미끼메일을 발송했다.

해당 스피어피싱 메일은 APT 공격을 위한 공격 초기단계이며, 악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도우 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 다양한 타입으로 유포했다.

또한, 메일 보안솔루션에서 차단되지 않도록 압축 비밀번호를 설정하여 발송했다.

사용된 악성코드는 백신 프로그램에서 탐지되어 삭제되지 않도록 특정 백신 프로그램의 설치여부를 확인하고 동작여부를 결정한다.

하우리 보안대응센터는 “이번에 확인된 스피어피싱 메일들은 예전의 악성코드 배포방식과는 완전히 다르다. 대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고, 자연스럽게 응대하다가 악성코드 배포를 시도하기 때문에 정상적인 메일소통과 다르지 않아 더욱더 위험하다.”고 말했으며, “2024년에도 APT 공격 그룹의 스피어피싱 메일은 국내, 해외를 막론하고 지속적이고, 다양한 형태로 발송될 것으로 예상되어 메일 사용에 각별한 주의가 필요하다.”고 밝혔다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★