오아시스 시큐리티(대표 김근용)는 자사 AGATHA CTI 서비스를 통해 북한 해킹 그룹인 킴수키(Kimsuky)가 국내 애플 아이클라우드(icloud) 사용자를 대상으로 한 공격을 시도한 정황을 확인했다고 밝혔다.
이는 북한 해킹 그룹이 국내 애플 아이클라우드 사용자의 세션 정보를 수집해해 탈취하는 방식으로, 사용자의 아이디와 패스워드 없이도 아이클라우드에 접근할 수 있을 것으로 추정된다.
킴수키 그룹의 애플 아이클라우드를 향한 공격은 과거에는 확인되지 않았지만, 최근 국내 아이클라우드 사용자를 대상으로 공격 범위를 확대한 것으로 보인다. 오아시스 시큐리티는 이러한 공격 움직임이 최초로 확인되었으며, 국내 사용자들의 세션 정보가 탈취된 것으로 판단하고 있다. 이에 따라 국내 아이클라우드 사용자들의 보안에 비상이 걸린 상황이다.
공격에 사용된 경유지 서버는 가짜 애플 관련 도메인과 연결되어 있었으며, 노출된 서버의 파일 목록을 분석한 결과, 피해를 입은 사용자의 아이디를 폴더 형태로 생성하여 관리하고 있는 것으로 드러났다. 각 폴더에는 해당 사용자의 탈취된 애플 아이클라우드 세션 정보가 저장되어 있었다. 오아시스 시큐리티는 이러한 방식으로 킴수키 그룹이 아이클라우드 세션을 지속적으로 수집하고 있으며, 이는 아이클라우드 계정 접근을 위한 주요 수단으로 활용될 가능성이 높다고 경고했다.
또한, 킴수키 그룹은 애플과 군사 관련 키워드로 구성된 도메인을 사용하는 다수의 경유지 서버를 운영하고 있는 것으로 파악됐다. 이러한 경유지 서버들은 아이클라우드 세션 탈취를 주된 목적으로 하고 있으며, 이는 더 광범위한 정보 수집 및 공격을 위해 활용될 수 있는 잠재적 위협으로 분석된다.
김근용 오아시스 시큐리티 대표는 추가 공격을 차단하기 위해 킴수키 그룹과 관련된 위협 정보를 즉각 유관기관에 전달했다고 밝혔다. 그는 또한 킴수키 해킹 그룹뿐 아니라 북한 해킹 그룹들이 사용하는 공격 도구에 대한 선제적이고 공세적인 대응이 필요하다고 강조했다.
오아시스 시큐리티는 설립 3년 차의 보안 스타트업으로, 사이버 위협 정보 서비스 AGATHA(아가사)를 통해 사이버 위협 세력의 악의적인 활동을 억제하고 공세적 방어 역량을 강화하는 데 주력하고 있다. AGATHA는 사이버 공격 인프라를 사전에 포착, 수집, 추적하여 공격 발생 전에 관련 위협 정보를 제공하는 서비스로, 국내외에서 사이버 보안 위협에 대한 선제적 대응을 돕고 있다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★