2019-10-24 13:43 (목)
[긴급] 한수원 공격했던 김수키 해킹조직, 한국 타깃 전방위 공격 개시...주의
상태바
[긴급] 한수원 공격했던 김수키 해킹조직, 한국 타깃 전방위 공격 개시...주의
  • 길민권 기자
  • 승인 2019.03.21 14:21
이 기사를 공유합니다

2014년 한수원 공격했던 해킹조직의 위협 지표와 정확히 일치하는 것 확인

▲ 남북통일 관련 연구단체 웹 사이트에 메인에 삽입되어 있는 악성 코드 화면
▲ 남북통일 관련 연구단체 웹 사이트에 메인에 삽입되어 있는 악성 코드 화면
김수키 APT 공격 조직이 3월 20일 한국의 공공•민간기관 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지 등을 해킹해 악성코드를 은밀히 유포하고 있는 정황이 포착됐다. 이외에도 전방위적인 공격이 의심되고 있어 각 기관과 기업들의 각별한 주의가 요구된다.

이스트시큐리티 시큐리티대응센터는 해당 웹 사이트에 악의적인 취약점 코드가 삽입되어 있는 것을 확인했고 식별되지 않은 다른 사이트에서도 유사위협 발생 가능성이 있어 각별히 주의해야 한다"고 당부했다.

◇이번 공격...'오퍼레이션 로우 킥'으로 명명

ESRC에서는 이번 특정 웹 사이트들의 침해 사고들이 일반 사이버 범죄 형태가 아닌 해당 웹 사이트에 접속하는 특정 분야의 인사들을 겨냥한 의도적인 '워터링 홀(Watering Hole)' 공격임을 확인했다. 이 조직은 지난 2018년 5월 경에도 '오퍼레이션 워터 탱크'를 수행한 바 있는 조직이다.

ESRC 측은 복수의 웹 사이트에서 각각 식별된 Exploit 코드와 최종 페이로드(Payload)가 대부분 일치함을 확인했으며 공격자가 사용한 String 코드에서 "I'm Low."라는 영문 표기를 발견했다. 이러한 키워드를 활용해 이번 사이버 작전(OPSEC)을 '오퍼레이션 로우 킥(Operation Low Kick)'으로 명명함과 동시에 공격에 사용한 명령제어(C2) 서버와 일부 코드가 2014년 한수원을 공격했던 해킹조직, 일명 '김수키(Kimsuky)' 위협 지표와 정확히 일치하는 것을 확인했다고 전했다.

또 "특히 'CVE-2018-8174' 취약점이 쓰이고 있어 반드시 최신 업데이트 상태를 유지하고 최근 '특정 정부의 후원을 받는 위협조직'의 활동이 눈에 띄게 증가하고 있다. 스피어 피싱 공격 뿐만 아니라 워터링 홀 공격까지 전방위적인 위협을 가하고 있다. 각별한 주의를 당부한다"고 강조했다.

워터링 홀 공격이란, 사자와 같은 육식동물이 마치 물을 마시기 위해 모이는 초식동물을 습격하기 위해 '물 웅덩이(Watering Hole)' 근처에 매복 중인 형상을 빗댄 표현으로, 특정한 분야의 웹 사이트에 접속하는 인물만 노린 표적형 공격방식을 의미한다. 그리고 정부가 배후에 있는 공격자들이 사이버 첩보 및 스파이 미션을 목적으로 수행하는 지능화된 사이버 공격 유형의 하나다.


-국내 최대 개인정보보호&정보보안 컨퍼런스 <G-PRIVACY 2019> 4월 10일 개최. 7시간 보안교육 이수 가능.

-사전등록: http://conf.dailysecu.com/conference/g-privacy/2019.html

★정보보안 대표 미디어 데일리시큐!★