하우리 "김수키 스피어피싱 메일 주의 필요"

작년 10월까지 메일서버 16개·사칭 계정 24개 사용...400명에 발송
보안전문기업 하우리는 북한 해킹 조직으로 알려져 있는 김수키(Kimsuky) 조직의 스피어피싱 메일이 심각한 보안실태를 초래하고 있다고 판단해 특별한 주의가 필요하다고 3일 밝혔다.

이번에 확인된 스피어피싱 메일은 2023년 1월부터 10월까지 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개로 400여명 이상의 국내를 비롯한 해외 주요 기관에 소속된 인사에게 발송됐으며 실제 공격에 사용된 서버와 계정은 파악된 수보다 휠씬 더 많을 것으로 판단하고 있다.

이번에 확인된 북한 해킹 조직의 스피어피싱 메일은 국내·외를 막론하고, 연구기관 및 대학교 등을 대상으로 광범위하게 배포됐다.

특히 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭하여 은밀하고 자연스러운 스피어피싱 메일을 지속적으로 보냈으며 악성코드를 첨부하는 것이 아니라 미끼 메일을 발송한 후 응답메일을 보냈을 때 악성코드를 발송한 것으로 확인됐다. 하우리에 따르면 스피어피싱 메일에 사용된 악성코드는 한글파일, 문서파일, HTML 파일 등 다양한 타입으로 유포됐다.

회신이 없는 경우는 더 이상 추가 공격을 하지 않거나 메일 열람을 유도하는 재촉메일도 발송했으며 피싱 계정의 발신내역과 수신내역을 확인한 결과 메일을 받고 의심없이 발신자에게 회신 메일을 보낸 응답율이 평균 25%로 집계됐다.

메일 수신자가 회신 메일을 보냈으나 실제 감염 여부는 확인이 불가능하나 회신메일을 보낸 이는 시스템 감염이 이뤄졌을 가능성이 높다고 하우리 측은 설명했다.

하우리 보안대응센터는 "이번에 확인된 스피어피싱 메일들은 예전의 악성코드 배포방식과는 완전히 다르다. 대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고 자연스럽게 응대하다가 악성코드 배포를 시도하기 때문에 정상적인 메일소통과 다르지 않아 더욱더 위험하다"며 "2024년에도 APT(지능형 지속 공격) 그룹의 스피어피싱 메일은 국내외를 막론하고 지속적이고 다양한 형태로 발송될 것으로 예상되어 메일 사용에 각별한 주의가 필요하다" 고 밝혔다.김영욱기자 wook95@dt.co.kr