[초점] 北 해킹 그룹 ‘킴수키’, 주한 대사관에 치밀한 사이버 스파이 공작

[아이티데일리] 북한과 연계된 해킹 그룹 ‘킴수키(Kimsuky)’가 올해 3월부터 7월까지 대한민국 내 각국 외교 공관들을 대상으로 치밀하고 정교한 사이버 스파이 작전을 전개한 사실이 해외 사이버 보안 업체 분석을 통해 드러났다. 이들은 실제 외교 일정을 빙자한 각종 초청장, 공문 등을 미끼로 대사관들로부터 기밀 정보를 탈취하려고 시도했다. 고도의 사회공학적 기법이 사용된 것이다. 이와 함께 깃허브(GitHub)와 드롭박스(Dropbox) 등 합법적인 서비스를 명령제어(C2) 인프라로 악용하는 등 고도의 탐지 회피 전략을 사용한 점도 주목받고 있다.

사이버 보안 전문기업 트렐릭스(Trellix)는 지난 18일(현지시간) 자사 블로그를 통해 ‘조직적인 대사관 사냥: 북한 연계 깃허브 C2 스파이 캠페인 공개(The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign)’라는 제목의 보고서를 발표했다. 보고서에 따르면 킴수키는 올해 3월부터 7월까지 서울 소재 각국 대사관 및 외교부 관계자들을 겨냥해 최소 19건의 스피어 피싱 이메일 공격을 감행했다.

킴수키는 2012년부터 활동을 시작한 북한 정찰총국 소속의 해킹 조직으로 주로 대한민국 정부 부처, 연구 기관, 언론사 등을 표적으로 삼아 왔다. 2023년 맨디언트가 킴수키의 활동을 추적해 보고서를 발표하며 APT43이라는 코드명을 부여했다. 최근에는 공격 대상을 유엔(UN), 미국, 일본, 러시아, 유럽 등으로 확대하며 글로벌 차원의 정보 수집 활동을 벌이고 있는 것으로 알려져 있다.

실제 외교 일정 모방한 정교한 사회공학 기법 사용

이번에 킴수키가 펼친 작업의 특징은 실제 외교 활동에 대해 상세히 파악하고, 공관 근무자들이 조금만 부주의하면 속아넘어갈 수 있을 정도로 고도화된 미끼 이메일을 제작해 공격을 시도했다는 점이다.

먼저 공격자들은 EU 대표부 일등서기관, 미국 대사관 의전담당관 등과 같이 실제 외교가에서 활동하는 직책이나 신뢰할 수 있는 기관의 담당자로 신분을 위장했다. 5월 19일자로 발송된 실제 이메일을 살펴보면, 공격자들은 스푸핑(spoofing) 기법을 활용한 가짜 이메일 주소인 ‘protocol.emb.2025@gmail.com’을 사용해 미국 독립기념일 행사 초청장을 다수 외교 공관에 동시 발송한 것이 확인된다.

또한 공격자들은 유럽연합(EU) 정치 담당관 회의록, 미국 독립기념일 행사 안내, UN사령부 오찬 초대장 등을 위조해 이메일을 보내면서 발송 시점을 실제 외교 행사와 겹치도록 하는 등 수신자가 의심하지 않도록 설계에 정교함을 더했다.

위조 문서의 주제도 다양했다. 국제국회의장회의(ISC) 창립총회 초청장, 케냐 나이로비에서 이달 6~7일 열린 한국-아프리카 교류 행사 ‘제26회 세계 코리아 포럼(26th World Korea Forum)’ 안내, 이란 투자박람회(Iran Invest Expo) 참가 신청서, 서울시 소재 국제학교 입학원서, 대학병원 건강검진 안내 등 표적의 관심사와 필요에 맞춘 맞춤형 미끼가 사용됐다.

또 이번 공격에서 김수키는 54개의 서로 다른 PDF 위조 문서를 제작했는데 한국어, 영어, 페르시아어, 아랍어, 프랑스어, 러시아어 등 다양한 언어를 사용한 것이 확인됐다. 이는 한국 내 대사관들만을 공격 대상으로 삼은 것이 아니라, 전 세계 다양한 국적의 외교 관계자들을 노렸다는 것을 의미한다.

한 국내 보안 업체 관계자는 “각국 외교 관계자들이 관심을 가질 만한 다양한 주제를 여러 언어로 다루면서 공격을 시도했다는 게 주목할 만하다”면서 “이러한 작업에는 상당한 사전 준비와 자원 투입이 필요한데, 이는 곧 킴수키의 활동이 국가를 배후로 둔 체계적 정보 수집 작전임을 말해주는 대목”이라고 평가했다.

깃허브, 드롭박스 등 정상 서비스를 명령제어(C2) 서버로 악용

킴수키의 이번 공격에서 기술적으로 주목되는 부분도 있다. 깃허브와 드롭박스 등 정상적인 클라우드 서비스를 명령제어(C2) 인프라로 활용했다는 점이다. 공격자들은 ‘블레어리티(blairity)’, ‘랜드존(landjhon)’ 등으로 이름붙인 깃허브 계정을 생성해 비공개 코드 저장소를 운영했으며, 여기에 피해자 시스템에서 탈취한 정보를 업로드하고 추가 악성코드를 배포할 수 있는 지시 파일을 배치했다.

좀 더 구체적으로 살펴보면, 우선 스피어 피싱 이메일에 첨부파일을 직접 첨부하지 않았다는 점이 특징적이다. 대신 드롭박스나 다음(Daum) 클라우드에 비밀번호가 걸린 압축(.zip) 파일을 업로드한 후 이메일 본문 내에 다운로드 링크를 제공했다. 그리고 메일을 열어본 피해자가 파일을 다운로드해 압축을 해제하면 PDF 문서로 위장된 바로가기 파일(.pdf.lnk 이중확장자 사용)이 나타나며, 이를 실행하면 난독화된 파워셸(PowerShell) 스크립트가 동작해 깃허브에서 추가 악성 페이로드가 다운로드된다.

이러한 과정에 따라 결국 ‘제노RAT(XenoRAT)’라는 이름의 원격 액세스 트로이목마가 설치되는데, 이는 △키보드로 입력한 모든 내용을 가로채는 ‘키로깅(keystroke logging)’ △PC 화면 캡처 △은밀한 파일 전송 △시스템 정보 수집 등의 기능을 수행한다. 수집된 정보는 다시 깃허브 API를 통해 공격자에게 전송된다.

한 국내 보안 업체 관계자는 “깃허브과 같은 개발자 플랫폼을 C2로 사용하는 것은 정상 트래픽으로 위장하기 쉬워 탐지를 회피할 수 있다는 장점이 있다”며 “이는 현재 북한 해킹 그룹들이 사용하는 탐지 회피 기법이 상당히 정교한 수준에 올라 있다는 것을 보여준다”고 평가했다.

중국 연계 정황도 포착

트렐릭스는 확인된 여러 기술적 지표들에 미뤄봤을 때 이번 공격이 북한을 배후로 하는 킴수키 조직의 소행임이 분명하다고 평가했다. IP 주소, 스푸핑된 도메인 이름, 공유된 사용자 프로필, 반디집(Bandizip) 사용, 반복해서 발견되는 특정 이메일 발신자 등과 같은 흔적들이다. 하지만 그러면서도 트렐릭스는 “흥미롭게도 중국과의 연관성을 시사하는 퍼즐들이 다수 발견됐다”고 덧붙였다.

트렐릭스가 공격자들의 활동 패턴을 시간대별로 분석한 결과를 보면, 공격자들의 활동은 중국 표준시를 기준으로 활발했다. 전체 공격 활동의 62%가 중국 표준시인 UTC+08:00 시간대에서 발생했고, 한국 표준시인 UTC+09:00에서는 35.5%만이 관찰됐다.

특히 트렐릭스는 아시아 시간대를 기준으로 월요일부터 금요일까지 오전 8시에서 오후 6시 사이에 활동하는, 전형적 직장인의 패턴을 보였다는 점을 강조했다. 이는 야간에 불규칙하게 활동하는 일반적 해커와는 다른 것으로, 전문적인 직업 형태로 일하고 있음을 의미한다.

이와 함께 중국의 청명절(4월 4~6일)과 노동절 연휴(5월 1~5일) 기간에 공격 활동이 완전히 중단되는 모습도 나타났다. 정확히 3일의 청명절 기간 동안 깃허브 커밋과 피싱 활동이 전면 중단됐고, 노동절 연휴 기간에도 운영이 완전히 정지된 것이다. 반면 한국의 현충일과 같은 공휴일이나, 북한의 공휴일 기간에는 이처럼 뚜렷한 활동 중단 패턴이 관찰되지 않았다. 트렐릭스는 “수치상으로 북한 공휴일과의 상관관계가 약 33%에 불과해 신뢰도가 낮았다”고 설명했다.

이와 같이 킴수키가 중국 시간에 맞춘 근무 패턴을 보인다는 점은 여러 가능성을 시사한다. 우선 기존에 알려진 대로 북한의 사이버 공작원들이 중국에서 활동하고 있다는 것에 대한 구체적 증거가 나왔다는 분석이다. 앞서 북한 국적 해커 4명에 대한 미국 법무부의 기소장과 전략국제문제연구소(CSIS)의 보고서를 통해, 북한 사이버 공작원들이 중국과 러시아에 주 거점을 두고 현지 인프라를 활용해 캠페인을 수행한다는 사실이 알려진 바 있다.

북한이 배후로 알려진 킴수키의 기법을 중국 해킹 그룹이 모방하며 혼선을 주고 있다는 해석도 가능하다. 또는 북한이 원활한 정보 수집을 위해 외교적으로 친밀한 관계를 유지하는 것으로 알려진 중국과 상호 협력하고 있다는 사실에 대한 증거일 수도 있다. 트렐릭스는 “이 캠페인은 북한의 지원을 받는 킴수키(APT43)의 활동임이 확실하다. 다만 우리는 운영자들이 중국에서 활동하는 북한인이거나, 또는 문화적으로 중국인일 가능성에 대해서도 중간 정도의 확신을 갖고 있다”고 밝혔다.

마지막으로 트렐릭스는 “결론적으로 이번 캠페인은 동기, 표적, 그리고 사용한 도구 측면을 살펴봤을 때 북한이 후원한 스파이 활동으로 판단된다. 다만 한 가지 흥미로운 사실은 중국의 작전 지휘 가능성을 시사하기도 한다는 것”이라면서 “핵심은 단순히 누가 했느냐가 아니라 일반적 플랫폼의 악용, 세심한 사회공학적 접근, 국경을 넘어선 실행력 등 공격이 어떻게 실행됐느냐에 있다. 트렐릭스는 이 캠페인의 가면을 벗김으로써 잠재적 표적이 보안을 강화하고 향후 북한 연계 공격을 차단할 수 있도록 돕고자 한다”고 덧붙였다.