‘우리도 예외아냐’…南 노리는 北 해킹조직 ‘금성121, 김수키’

해킹
/사진=pixabay

최근 미 재무부가 라자루스(LAZARUS)와 그 하부 조직인 블루노로프(BLUENOROFF), 안다리엘(ANDARIEL)을 제재하면서 북한 해킹 조직에 대한 관심이 높아졌다. 그러나 이번 제재에 북한의 다른 해킹 조직으로 알려진 금성121과 김수키(Kimsuky) 등은 빠져있다. 해외 금융 기관 등을 공격하는 라자루스와는 달리 주로 한국을 노리고 있기 때문으로 보인다. 즉, 금성121과 김수키는 북한과 관련된 활동 및 연구를 하는 국내 거주 탈북민, 전문가, 정치인, 언론인 등을 주공격 대상으로 삼고 있다.

南 북한인권 활동가, 탈북민, 학자 등 전방위로 공격하는 ‘금성 121’

금성121은 주로 탈북민, 북한 인권 운동가, 북한 연구가, 언론인 등 북한과 관련된 단체 또는 관계자를 주요 공격 대상으로 삼고 있다.

금성121은 지난 6월 북한 선교학교를 사칭해 탈북민과 관련 인사들을 공격했으며 탈북자 지원 선교단체인 ‘두리하나’ 등에서 보낸 것으로 위장한 이메일을 보냈다. 또한 통일부를 사칭(4월)하거나 학술회의 안내 문서를 위조(5월)하기도 하고, 국내 정당 연구소로 위장(7월)하는 등 다양한 수법을 구사하고 있다.

또한, 최근에는 스마트폰을 노린 공격도 늘어나는 것으로 조사됐다.

이스트소프트시큐리티 시큐리티대응센터(ESRC)에 따르면 금성121은 지난 8월 탈북민 지원 분야에 종사하는 사람들의 스마트폰과 PC를 동시에 노린 APT(지능형 지속 위협)공격을 했으며 지난해 12월에는 카카오톡을 이용해 탈북민에게 피싱 APK(안드로이드 응용 프로그램 패키지) 설치를 유도했다.

스마트폰을 사용자가 하루종일 휴대하고 다닌다는 특성과 PC보다 보안 의식이 떨어진다는 점을 이용한 것으로 보인다.

해커는 백신, 은행 보안 앱, 보안 채팅 앱 등 상대방이 신뢰할 수 있는 앱으로 위장해 상대방을 공격한다. 전문가들은 아이콘이 같을지라도 내부 프로그램은 전혀 다를 수 있어 정식 앱 마켓 외에 다른 곳에서 받은 APK 파일은 설치하지 않아야 한다고 강조하고 있다.

한편, 금성121은 북한에서 전문적인 컴퓨터 교육을 진행하는 ‘금성 제1고등중학교’의 앞글자와 북한 정찰총국 산하 해킹 및 사이버전 전담부대 ‘121국’의 ‘121’을 합성해 국내 보안업체가 붙인 이름이다.

국내외 보안 업체들은 해킹 조직에 대해서 각자 고유한 이름을 붙여 사용하고 있다. 예를들어 ESRC는 ‘금성121’,  안랩 시큐리티대응센터(ASEC)는 ‘레드 아이즈 공격 그룹(Red Eyes Hacking Group)’으로 부르며 해외 보안업체 파이어아이(Fireeye)는 ‘APT37’, 팔로알토(Paloalto)는 ‘리퍼(Reaper)’로 부르고 있다.

이와 관련 라자루스 역시 히든코브라(Hidden Cobra), 평화의 수호자(Guardians of Peace), 애플웜(APPLEWORM), 레드닷(RED DOT) 등 다양한 이름으로 불리고 있다.

한수원 해킹한 김수키, 한국 맞춤형 APT 공격 시도

김수키는 지난 2013년 러시아 보안업체 카스퍼스키 랩(Kaspersky Lab)을 통해 처음 명명된 해커 조직이다. 국내에서는 2014년 한국수력원자력을 해킹 공격한 배후로 알려져 있다.

김수키는 통일, 외교, 안보 전문가들을 대상으로 공격을 하고 있으며 최근에는 암호화폐 관련자들에 대한 해킹을 시도하고 있다.

김수키는 지난 5월 경찰청 사이버 안전국을 사칭해 암호화폐 거래소 가입자들을 공격했으며 3월에는 한국의 공공·민간기관의 정책을 연구하는 웹 사이트와 남북통일을 연구하는 특정 학술단체의 홈페이지를 해킹했다.

또한, 김수키는 한국의 정치 상황에 맞게 피싱 파일을 적절히 활용하는 모습도 보인다.

김수키는 지난 4월 한미정상회담 전에는 ‘한미정상회담 관련 정부 관계자 발언’이라는 제목의 문서를, 2월 하노이 북미 정상회담 전엔 ‘한미정상회담 좌담회 초청장’ 등을 관계자에게 보낸 바 있다.

또한 지난해 남북정상회담 이후 ‘종전선언’, 북미 정상회담 이후에는 ‘미북 정상회담 전망 및 대비’, 한국 국정감사 기간에 맞춰 ‘2018년 국정감사 계획서-수정(안)’이라는 제목의 파일을 이용해 공격을 시도했다.

한편, 최근 김수키는 활동반경을 해외로 넓히는 것으로 전해진다.

ESRC는 지난 27일 김수키는 악성 파일의 C2 서버를 국제연합(UN) 도메인(un.org)과 유사한 ‘unite.un.org’로 위장해 공격을 시도했다고 밝혔다.

유엔을 위장한 김수키의 공격은 ‘North_Korea.docm’이라는 제목의 영문으로 된 MS워드 파일이 이용됐으며 사용자의 클릭 유도 문구 역시 영어이다. 이에 국내 사용자를 노린 공격이 아닌 영어 사용자를 대상으로 한 공격으로 분석된다.

ESRC는 한국인을 대상으로 공격할 때는 보통 HWP 취약점 문서나 한글 문구가 사용된다고 말했다.