카스퍼스키 랩, ‘Kimsuky’ HWP 파일만 유출하는 악성코드 발견!
여러 단서 종합하면 북한인과 연관 있을 것으로 추정

[보안뉴스 김태형] 우리나의 주요 기관을 노리는 사이버 스파이 활동이 발견됐다.보안 및 위협 관리 솔루션 전문 기업 카스퍼스키 랩(www.kaspersky.com)은 대한민국의 주요 기관을 노린 사이버스파이 활동을 발견했다고 발표했다.

                    
                   ▲ Kimsuky 사이버 스파이 활동 공격자의 IP 위치

카스퍼스키랩에 따르면, ‘Kimsuky’로 명명된 이번 사이버스파이 활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 대한민국의 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격이라고 밝혔다.

또 이번 사이버스파이 활동의 초기 징후는 2013년 4월 3일이었으며 Kimsuky 트로이목마 샘플은 2013년 5월 5일 최초로 발견됐다. 해당 샘플은 비교적 단순한 스파이 프로그램으로 몇 가지 기본 코딩 오류가 있었으며 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용한 것으로 밝혀졌다고 설명했다.

어떻게 감염시켰는지에 대한 증거는 남아있지 않지만 카스퍼스키랩은 Kimsuky 악성코드가 특정 대상만을 목표로 중요 정보를 캐내기 위한 스피어-피싱 이메일로 전달된 것으로 추정하고 있다. 이 공격은 키보드입력 기록·디렉터리 목록 수집, 원격 제어, HWP 문서 유출 등과 같은 활동을 수행한다고 밝혔다.

특히, Kimsuky 악성코드에는 HWP 파일만을 유출하는 전문 악성코드가 포함되어 있어 이번 해킹의 주요 목적이 HWP 문서파일의 유출임을 보여주고 있다는 것.

카스퍼스키랩에 따르면, 이번에 발견한 여러가지의 단서들은 이번 스파이 활동을 한 공격자들이 북한 사람들임을 추측하게 하고 있다.

첫째는 해킹의 대상이 된 주요 기관의 면면이 이를 가리키고 있는데, 국내외 정세를 연구하는 민간 기관, 국방정책 전반을 연구하는 정부출연 기관, 국적 해운 회사, 통일관련 그룹 등이었다.

둘째는 악성코드에 한국어로 된 문자열(‘공격’과 ‘완성’ 등)이 있었다는 것이다. 그리고 셋째는 악성코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 ‘kim’으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록됐다는 것이다.

비록 이 이메일 등록정보가 공격자를 구체적으로 단정지어 주지는 않지만, 공격자의 IP 주소는 이를 간접적으로 알려줬다. 즉, 공격에 10개의 IP 주소가 사용됐으며 모두 중국의 Jilin Province Network와 Liaoning Province Network의 것이었다. 이 지역에서의 일부 인터넷 회선은 북한에 연결된 것으로 추정되고 있기 때문이다.

아울러 Kimsuky 악성코드의 또 다른 지역적 특징은 ‘안랩’의 보안 제품만을 대상으로 하여 그 일부 기능을 무력화하는 것이라고 카스퍼스키랩은 밝혔다.

한편, 카스퍼스키랩은 이번 악성코드를 ‘Trojan.Win32.Kimsuky’라는 진단명으로 탐지하고 있으며, 원격 제어에 사용된 팀뷰어 클라이언트의 변조 모듈은 ‘Trojan.Win32.Patched.ps’로 탐지하고 있다고 덧붙였다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>