다음 내용이 궁금하다면?
불편하시다면 뒤로 가기를 눌러주세요
카스퍼스키, 북한 해킹 그룹 '김수키' 최신 공격 전술 공개
VSCode·원격관리 도구 활용해 은밀 침투
[카스퍼스키 제공. 재판매 및 DB 금지]
(서울=연합뉴스) 오지은 기자 = 카스퍼스키는 북한 해킹 그룹인 김수키의 최신 공격 전술을 분석한 보고서를 14일 발표했다.
보고서에 따르면 김수키는 인공지능(AI) 기술을 악성코드 개발에 활용하고 있으며 우리 정부의 전자인증서 체계를 직접 노리고 있다.
◇ AI로 악성코드 제작 정황…VSCode까지 공격 도구화
카스퍼스키 연구진은 최근 수개월간 김수키의 활동을 분석한 결과 러스트(Rust·프로그래밍 언어) 기반 백도어인 헬로도어(HelloDoor)를 식별했다.
특히 이 악성코드 내부에서 이모티콘이 포함된 주석과 문법적 오타가 발견되면서 대형언어모델(LLM)이 코드 작성 과정에 관여한 정황이 포착됐다.
카스퍼스키는 이를 김수키가 사이버 공격 도구 제작에 AI를 활용하고 있다는 신호로 보고 있으며 향후 공격의 고도화와 변종 생성 속도가 더욱 빨라질 것이라고 경고했다.
공격 방식에서의 전술적 변화도 두드러진다.
김수키는 기존의 악성코드 전달 방식 외에도 비주얼 스튜디오 코드(VSCode)의 원격 터널링 기능과 원격 관리 도구를 공격 채널로 전용하고 있는 것으로 드러났다.
이는 피해 시스템이 마이크로소프트 서버와 통신하는 것처럼 보이게 해 보안 설루션의 탐지를 우회하고 공격자가 웹 브라우저를 통해 은밀하게 피해 기기에 접속할 수 있도록 돕는다.
◇ 정부 인증서 탈취 시도…군·방산·공무원 집중 표적
정부 기관을 노린 직접적인 위협도 현실화하고 있다.
김수키가 사용하는 애플시드(AppleSeed) 악성코드에는 공무원이 정부 시스템 접속에 사용하는 정부 공인 전자인증서(GPKI) 저장 디렉토리를 수집하는 기능이 탑재된 것이 확인됐다.
카스퍼스키에 따르면 해당 인증서가 유출될 경우 공무원 계정 도용으로 정부 내부 시스템에 무단 접근할 위험이 있으며, 이는 단순한 정보 유출을 넘어 국가 인프라 전체의 보안 문제로 번질 수 있는 사안이다.
김수키의 공격 대상은 한국의 군 관계자, 정부 공무원, 방위산업체 직원 등을 넘어 해외로까지 이어지고 있다.
[연합뉴스TV 제공]
이들은 주로 제품 견적서나 채용 공고 등으로 위장한 정교한 스피어 피싱 이메일을 활용해 초기 접근을 시도한다.
특히 최근에는 메신저를 사용해 접근하거나 한국의 정상 웹사이트를 해킹해 C2(명령 및 제어) 서버로 악용하는 등 인프라 은닉 전술도 병행하고 있다.
이효은 카스퍼스키코리아 지사장은 "김수키의 최신 캠페인은 AI를 활용한 코드 생성과 정상 소프트웨어의 무기화라는 두 축으로 정교함을 높이고 있다"며 "기업과 기관은 행위 기반 탐지 체계를 구축하고 최신 위협 인텔리전스를 정기적으로 업데이트해야 한다"고 강조했다.
김수키는 지난 2013년 식별됐으며 다른 한국어 사용 APT(지능형 지속 위협) 그룹 대비 기술적 수준은 낮다고 평가되지만, 맞춤형 스피어 피싱 이메일 제작에 특화됐다고 평가받고 있다.
김수키는 수년간 한국의 무료 도메인 호스팅 서비스 내도메인.한국(naedomain.hankook)을 서버 구축에 주요 활용한 바 있다.
built@yna.co.kr
Copyright 연합뉴스 All rights reserved. 무단 전재 및 재배포 금지.
인기상품 확인하고 계속 읽어보세요!
원치 않을 경우 뒤로가기를 눌러주세요.