북한 해킹 조직 'Kimsuky(김수키)', 한국·일본 집중 공격
소프트웨어·에너지·금융 분야 기업에 악성코드 심어 정보 탈취
댓글 0
기사입력
: 2025.04.22 09:27
[시큐리티팩트=최석윤 기자] 북한의 국가 지원 해킹 조직으로 알려진 '김수키(Kimsuky)'가 최근 새롭고 지능적인 악성 캠페인으로 한국·일본 집중 타격하고 있다고 21일(현지시각) 해커뉴스가 보도했다. 이들은 이미 보안 업데이트로 막힌 과거의 취약점을 악용하여 초기 침투에 성공하는 수법을 사용하고 있어 더욱 심각한 위협으로 간주된다.
2023년부터 한·미·일 등 전 세계 국가 공격
이번 Kimsuky의 악성 캠페인은 2023년 10월부터 본격적으로 시작된 것으로 추정되며, 주로 한국과 일본의 소프트웨어, 에너지, 금융 분야 기업들을 집중적으로 노리고 있다. 하지만 이들의 공격 대상은 한일 양국에 국한되지 않았다. 미국, 중국, 독일, 싱가포르, 남아프리카공화국, 네덜란드, 멕시코, 베트남, 벨기에, 영국, 캐나다, 태국, 폴란드 등 전 세계 10여 개국 또한 Kimsuky 공격 대상에 포함된 것으로 밝혀졌다.
국내 사이버 보안 업체인 안랩(AhnLab)의 보안정보센터(ASEC)는 이번 Kimsuky의 활동을 'Larva-24005'라는 이름으로 명명하고, 이들의 공격 방식을 면밀히 분석하고 있다.
과거 'BlueKeep' 취약점 노려 침투
ASEC의 분석에 따르면, Kimsuky는 일부 시스템에서 '블루킵(BlueKeep)'이라는 이름으로 널리 알려진 'CVE-2019-0708' 취약점을 악용하여 초기 접근 권한을 획득했다. 이 취약점은 마이크로소프트 원격 데스크톱 서비스(Remote Desktop Services, RDS)의 심각한 보안 결함으로, 인증되지 않은 공격자가 원격으로 코드를 실행하여 시스템을 완전히 장악할 수 있는 매우 위험한 버그이다. 당시 보안 점수가 무려 9.8점으로 평가될 만큼 심각한 수준이었다.
다행히 마이크로소프트는 2019년 5월에 이 취약점에 대한 보안 업데이트를 배포하여 문제를 해결했다. 하지만 Kimsuky는 아직 업데이트를 적용하지 않은 시스템을 찾아 과거 보안 구멍을 파고드는 방식으로 침투를 시도하고 있다. ASEC 측은 "침해된 시스템에서 RDP 취약점 스캐너가 발견되었지만, 실제 악용 증거는 아직 명확하게 확인되지 않았다"고 밝혔다.
이와 더불어 Kimsuky는 또 다른 초기 침투 경로로 '피싱 메일'을 여전히 적극적으로 사용하고 있다. 이들은 'CVE-2017-11882' 취약점을 유발하는 악성 파일을 이메일에 첨부하여 사용자가 무심코 열어보도록 유도한다. 이 취약점은 마이크로소프트의 수식 편집기(Equation Editor)의 오래된 보안 결함으로, 이를 악용하면 공격자가 임의의 코드를 실행할 수 있다.
악성코드 'MySpy'와 '키로거' 심어 정보 탈취
일단 시스템에 침투하는 데 성공하면, Kimsuky는 '드로퍼(Dropper)'라는 악성 프로그램을 이용하여 추가적인 악성 도구를 설치한다. 그중 하나가 바로 'MySpy'라는 악성코드다. MySpy는 감염된 시스템의 기본적인 정보를 수집하는 기능을 수행한다.
이와 함께 Kimsuky는 원격 데스크톱 접근을 용이하게 하기 위해 'RDPWrap'이라는 합법적인 도구를 몰래 설치하고, 원격 데스크톱 연결을 허용하도록 시스템 설정을 변경하는 치밀함을 보였다.
최종적으로 Kimsuky의 공격은 사용자의 키보드 입력 내용을 몰래 기록하여 중요한 정보를 빼가는 '키로거' 악성 프로그램을 배포하는 것으로 마무리된다. 이번 캠페인에서는 'KimaLogger'와 'RandomQuery'라는 두 종류의 키로거가 사용된 것으로 확인됐다.
과거 취약점 악용, 보안 업데이트 '필수'
이번 Kimsuky의 새로운 악성 캠페인은 이미 패치된 과거의 취약점을 능숙하게 활용하여 공격 효율성을 높이고 있다는 점에서 더욱 위협적이다. 특히 한국과 일본의 주요 산업 분야를 집중적으로 노리고 있다는 점은 국가적인 차원에서도 심각한 우려를 낳고 있다.
사이버 보안 전문가들은 Kimsuky의 공격 수법이 점차 고도화되고 있는 만큼, 개인 사용자뿐만 아니라 기업과 기관에서도 운영체제 및 소프트웨어의 최신 보안 업데이트를 반드시 적용하고, 출처가 불분명한 이메일이나 첨부 파일을 열어보지 않도록 각별한 주의를 기울여야 한다고 강조한다. 과거의 작은 보안 구멍 하나가 예상치 못한 심각한 결과를 초래할 수 있다.
