안랩 지난 12일 블로그에 분석 결과 공개
논문심사 요청 위장, 악성 한글 문서 유포
문서 더보기 클릭 유도해 원격제어 몰래 실시
"정책 위원회 교수 타깃…정부 동향 수집 의도"

[이데일리 최연두 기자] 북한 배후로 추정되는 해커 조직 ‘김수키’(Kimsuky)가 국내 교수들을 겨냥해 사이버 공격을 감행한 정황이 포착됐다. 학계에서는 이번 공격이 새 정부 위원회에 참여하는 교수들을 매개로 정책 동향을 파악하려는 목적이 크다고 분석한다. 교수의 이메일 계정을 통해 정부의 내부 문서나 회의 내용을 들여다보고, 이를 종합해 정세 흐름을 읽는 사이버 첩보전 성격이 짙다는 것이다.

안랩이 공개한 ‘논문 심사 요청’ 사칭 피싱메일 문서(사진=안랩)

보안 기업 안랩(053800)의 보안위협 대응 조직(ASEC)은 지난 12일 온라인 블로그에 최근 김수키가 국내 교수들을 대상으로 피싱 메일 공격을 시도한 정황을 확인했다고 밝혔다. 김수키는 ‘논문 심사 요청’ 메일로 위장해 악성코드가 담긴 한글 문서(.hwp)를 유포했다.

피싱 메일에는 러시아와 우크라이나 전쟁에 대한 가짜 논문 문서가 첨부됐다. 이 문서를 열람하기 위해 해커는 메일 본문에 표기된 비밀번호 입력을 요구했다. 이용자가 해당 문서를 열어보고 내용을 마저 읽으려고 문서 내 ‘더보기…’ 링크를 클릭하면 악성파일이 다운로드된다.

해커는 사용자 PC에서 실행된 악성파일을 통해 해당 시스템에 접근한 뒤 원격제어 프로그램을 몰래 설치한다. 안랩 분석에 따르면, 이들은 이용자가 감염 사실을 알아채지 못하도록 프로그램 창과 작업 표시줄의 아이콘까지 모두 숨김 처리한 것으로 나타났다. 결국 피해자는 외부 침입을 전혀 인식하지 못한 채, 민감 정보를 공격자에 넘긴 것이다.

김수키 조직은 그간 특정인 대상 지능형 지속위협(APT) 공격을 지속해왔다. 특히 국내에서는 정부와 국방·외교, 학계 등 분야 인사들을 겨냥했다. 이메일을 통해 사회적으로 신뢰할 수 있는 인물이나 기관을 사칭하고, 업무 관련 문서나 초청장 등으로 위장한 파일을 통해 악성코드를 유포한다. 최근에는 구글 드라이브, 드롭박스 등 클라우드 서비스를 명령제어(C2) 채널로 악용하는 수법도 늘고 있다.

염흥열 순천향대 정보보호학과 교수는 이번 공격에 대해 “기술이나 특허 정보를 탈취하려는 것보다는 정부 정책이나 활동 동향을 파악하려는 목적이 더 크다”고 강조했다.

이어 “김수키는 외교, 국방, 학계 등 분야별로 역할을 나눈 팀들이 동시에 공격을 벌이고 있다”며 “새 정부 차원에서 사이버 보안의 심각성을 인식하고 기업, 정부, 국민이라는 3개 주체의 정보보호 수준을 함께 끌어올리는 노력이 필요하다”고 말했다.

ASEC 관계자는 “최근 APT 공격은 피해자의 일상 업무와 유사한 콘텐츠로 접근해 경계심을 무너뜨리는 방식”이라며 “출처가 불분명한 문서는 가급적 열람을 자제하고, 확장자와 보안 설정 등을 꼼꼼히 확인해야 한다”고 당부했다.

최연두 (yondu@edaily.co.kr)

Copyright © 이데일리. 무단전재 및 재배포 금지.