"개인정보가 유출된 것 같아요"… 보안 담당자를 노린 김수키(Kimsuky) 스피어 피싱 공격

 

 

안녕하세요, 이스트시큐리티입니다.

 

"제 개인정보가 유출된 것 같아요."

 

업무 중 고객으로부터 위와 같은 문의 메일을 받게 된다면 어떻게 행동해야 할까요?

 

아마 대부분은 사실 여부를 확인하기 위해 다급히 첨부파일이나 링크를 확인해 볼 것입니다.

 

최근 발견된 북한 연계 해킹 조직 김수키(Kimsuky)의 공격은 바로 이러한 실무자의 심리를 정밀하게 파고들었는데요.

 

이번 글에서는 김수키(Kimsuky) 조직의 전형적인 표적형 스피어 피싱 수법과 그 교묘한 5단계 공격 흐름에 대해 자세히 살펴보겠습니다.

 

01. 무작위 스팸이 아니다, '너'를 콕 집어 노린 스피어 피싱

 

불특정 다수에게 같은 메일을 대량으로 뿌리는 일반적인 피싱과 달리, 특정 인물이나 기업을 정밀하게 타깃팅하는 공격을 스피어 피싱(Spear Phishing)이라고 합니다.

말 그대로 작살(Spear)로 콕 찍듯 표적을 노리는 수법이죠.

 

이번에 포착된 해킹 공격 역시 한 기업의 '개인정보보호 담당자'를 정밀한 표적으로 삼았습니다.

 

김수키(Kimsuky) 조직은 바로 악성 파일을 보내는 대신, 여러 차례 정상적인 메일을 주고받으며 담당자의 신뢰를 쌓는 치밀함을 보였습니다.

 

이스트시큐리티 대응센터(ESRC)가 수집한 샘플을 분석한 결과, 이는 김수키(Kimsuky) 조직이 주로 사용하는 전형적인 해킹 수법과 정확히 일치했습니다.

 

02. 보안에 걸리자...'오탐이에요, 다시 열어보세요'

 

이번 김수키(Kimsuky) 공격에서 가장 주목해야 할 부분은 보안 솔루션의 차단을 무력화하기 위해 사용된 '공격자의 결정적 한 수'입니다.

 

1차로 발송된 악성 링크가 기업의 보안 솔루션에 의해 차단되자, 김수키(Kimsuky) 공격자는 천연덕스럽게 다음과 같이 거짓 답변을 보냈습니다.

 

"자체 보안팀이 검사했는데 이상 없습니다.
오탐(잘못된 탐지)인 것 같으니 다시 열어보세요."

 

그 후 공격자는 보안 검사를 빠져나가기 위해 동일한 악성코드를 암호가 걸린 압축파일(ZIP)로 바꾸어 재전송(우회)했습니다.

 

암호화된 파일은 내부 콘텐츠를 보안 솔루션이 직접 검사하기 어렵다는 점을 악용한 것입니다.

 

보안 시스템이 막은 파일을 "오탐이니 다시 열라"며 암호 압축으로 재전송하는 행위는 매우 위험한 해킹 신호이므로 절대 실행해서는 안 됩니다.

 

03. '문서인 줄 알았는데' 바로가기(LNK) 파일의 함정

 

실무자가 압축을 풀고 파일을 클릭하는 순간 감염이 시작됩니다.

 

겉으로 보기에는 평범한 엑셀이나 PDF 같은 '미끼 문서'가 화면에 나타나기 때문에 사용자는 완벽하게 안심하게 됩니다.

 

하지만 이는 위장일 뿐인데요.

사용자가 진짜 문서로 착각해 더블클릭하는 순간, 앞에서는 미끼 문서가 뜨지만 뒤에서는 윈도우 바로가기 파일(LNK)의 속성을 악용한 악성코드가 몰래 설치되고 있었습니다.

 

심지어 설치 직후 스스로 흔적을 지우는 작업까지 은밀하게 진행되죠.

 

LNK 파일은 문서 아이콘으로 위장하기가 매우 쉬워 김수키(Kimsuky) 조직이 단골로 쓰는 해킹 수법입니다.

 

04. 들키지 않으려는 치밀한 설계와 잠복

 

김수키(Kimsuky) 해킹 조직의 정교함은 감염 이후에 더욱 도드라집니다.

 

탐지를 회피하고 정보를 안전하게 빼내기 위해 정상 서비스의 뒤로 숨는 방식을 택했는데요.

 

정상 프로그램으로 위장: 악성 폴더를 '숨김' 처리하고, 작업 및 파일명을 '인텔 네트워크 드라이버', '보안 자동 업데이트'처럼 정상적인 프로그램 이름으로 위장합니다.

 

정상 클라우드 악용: 수집한 정보를 빼낼 때 자체 해킹 서버 대신 드롭박스(Dropbox) 등 정상 클라우드 서비스를 통로로 사용해 내부 보안 장비의 차단을 회피(정상 트래픽으로 위장)합니다.

 

시스템 정보 탈취: 감염된 PC의 IP, 운영체제, 실행 프로그램 정보를 수집해 공격자에게 전송하고, 추가 명령을 내려받아 실행합니다.

 

05. 한눈에 보는 김수키(Kimsuky) 공격 흐름 5단계

 

이번 김수키(Kimsuky) 조직의 스피어 피싱 공격은 다음과 같은 단계로 일목요연하게 진행되었습니다.

 

1. [1단계] 고객 사칭 문의 ➔ "개인정보 유출이 의심돼요, 확인해 주세요"
   
   
2. [2단계] 자료 요청 및 전달 ➔ 담당자 회신 후 '고객현황' 다운로드 링크 전송
   
   
3. [3단계] 보안 솔루션 차단 ➔ 악성 파일이 기업 보안 솔루션에 의해 탐지·차단됨
   
   
4. [4단계] 오탐 핑계 및 재전송 ➔ "오탐이에요"라며 암호 압축파일로 우회 전송
   
   
5. [5단계] 실행 및 백라운드 감염 ➔ LNK 실행 시 미끼 문서 표시 및 악성코드 감염

 

이처럼 업무 맥락을 교묘히 파고드는 사회공학적 기법, LNK 다단계 침투법, 한국어 미끼 문서 사용, 그리고 국내 보안 소프트웨어(SW) 위장 수법 등은 모두 김수키(Kimsuky) 조직의 명확한 특징입니다.

 

ESRC 분석 결과, 이번 공격 역시 국내 기업의 정보보호 담당자를 정밀하게 겨냥한 김수키(Kimsuky)의 표적형 정보 탈취 범죄로 판단됩니다.

 

06. 김수키(Kimsuky) 해킹 공격, 이렇게 막고 대응하세요.

 

누구나 속을 수 있도록 정교해지는 김수키(Kimsuky)의 스피어 피싱 공격을 막기 위해서는 기술적인 방어와 더불어 실무자들의 보안 습관이 무엇보다 중요합니다.

 

• 낯선 주소의 메일 주의: 대화 내용이 자연스럽더라도 낯선 주소에서 온 메일의 첨부파일이나 다운로드 링크는 실행하기 전 반드시 재확인해야 합니다.
  
  
• 백신 최신 버전 유지: 알약 백신은 항상 최신 버전으로 업데이트하고, 실시간 감시 및 사전 검사 기능을 상시 활성화해 주세요.
  
  
• "오탐" 유도 메시지 거부: 보안 시스템이 차단한 파일을 "오탐이니 압축을 풀고 다시 열어라"고 유도하는 행위는 가장 위험한 해킹 신호입니다. 절대 실행하지 마세요.
  
  
• 파일 확장명 숨기기 해제: 윈도우 설정에서 '파일 확장명 숨기기'를 해제하여, 문서 아이콘 뒤에 숨은 LNK 등 의심스러운 확장자를 직접 확인해야 합니다.
  
  
• 즉각적인 신고: 의심스러운 메일이나 파일은 임의로 처리하거나 삭제하지 말고, 즉시 사내 보안부서나 전문기관에 신고하여 조치를 받으시길 바랍니다
•  

결론

 

김수키(Kimsuky)의 스피어 피싱 사례는 표적형 공격이 얼마나 정교하게 진화하고 있는지를 보여줍니다.
기업은 임직원 보안 교육과 탐지·대응 체계 강화를 통해 변화하는 위협에 지속적으로 대비해야 합니다.

---