"몰래 침입해 정책 빼낸다" 北 김수키, 교수 겨냥한 피싱메일 전송 작성일 06-13 72 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">안랩 지난 12일 블로그에 분석 결과 공개<br>논문심사 요청 위장, 악성 한글 문서 유포<br>문서 더보기 클릭 유도해 원격제어 몰래 실시<br>"정책 위원회 교수 타깃…정부 동향 수집 의도"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4cP1haEQTN"> <p contents-hash="55f60bf4ffc5584fe053535950fd36082f34cc70bea4eafa5af587b8eb44acee" dmcf-pid="8kQtlNDxWa" dmcf-ptype="general"> [이데일리 최연두 기자] 북한 배후로 추정되는 해커 조직 ‘김수키’(Kimsuky)가 국내 교수들을 겨냥해 사이버 공격을 감행한 정황이 포착됐다. 학계에서는 이번 공격이 새 정부 위원회에 참여하는 교수들을 매개로 정책 동향을 파악하려는 목적이 크다고 분석한다. 교수의 이메일 계정을 통해 정부의 내부 문서나 회의 내용을 들여다보고, 이를 종합해 정세 흐름을 읽는 사이버 첩보전 성격이 짙다는 것이다.</p> <figure class="figure_frm origin_fig" contents-hash="0e237243cb5838966e261e22b0e492453b78614ba2bec5c2bbfcc436a59f1aa0" dmcf-pid="6ExFSjwMhg" dmcf-ptype="figure"> <p class="link_figure"><img alt="안랩이 공개한 ‘논문 심사 요청’ 사칭 피싱메일 문서(사진=안랩)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202506/13/Edaily/20250613165929241gage.jpg" data-org-width="545" dmcf-mid="fpmxqGtsyj" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202506/13/Edaily/20250613165929241gage.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 안랩이 공개한 ‘논문 심사 요청’ 사칭 피싱메일 문서(사진=안랩) </figcaption> </figure> <div contents-hash="e99391dca38af97fb567058e570a8a9e6969fd0962b34483b11947339fc9a0d6" dmcf-pid="PDM3vArRSo" dmcf-ptype="general"> 보안 기업 안랩(053800)의 보안위협 대응 조직(ASEC)은 지난 12일 온라인 블로그에 최근 김수키가 국내 교수들을 대상으로 피싱 메일 공격을 시도한 정황을 확인했다고 밝혔다. 김수키는 ‘논문 심사 요청’ 메일로 위장해 악성코드가 담긴 한글 문서(.hwp)를 유포했다. </div> <p contents-hash="d624376172c072cf7e9f4112ae215c5d7a5180dd315e299c8154a746541e86b3" dmcf-pid="QwR0TcmeTL" dmcf-ptype="general">피싱 메일에는 러시아와 우크라이나 전쟁에 대한 가짜 논문 문서가 첨부됐다. 이 문서를 열람하기 위해 해커는 메일 본문에 표기된 비밀번호 입력을 요구했다. 이용자가 해당 문서를 열어보고 내용을 마저 읽으려고 문서 내 ‘더보기…’ 링크를 클릭하면 악성파일이 다운로드된다.</p> <p contents-hash="a126ee771eaa54ea56be4193762192d40d19a78acd1553920cc69b30f308f65a" dmcf-pid="xrepyksdCn" dmcf-ptype="general">해커는 사용자 PC에서 실행된 악성파일을 통해 해당 시스템에 접근한 뒤 원격제어 프로그램을 몰래 설치한다. 안랩 분석에 따르면, 이들은 이용자가 감염 사실을 알아채지 못하도록 프로그램 창과 작업 표시줄의 아이콘까지 모두 숨김 처리한 것으로 나타났다. 결국 피해자는 외부 침입을 전혀 인식하지 못한 채, 민감 정보를 공격자에 넘긴 것이다.</p> <p contents-hash="d547e92bd52b23369397bd293be9a078222e159b7280d5d4c7703286c2c8f5a5" dmcf-pid="ybGjx79HCi" dmcf-ptype="general">김수키 조직은 그간 특정인 대상 지능형 지속위협(APT) 공격을 지속해왔다. 특히 국내에서는 정부와 국방·외교, 학계 등 분야 인사들을 겨냥했다. 이메일을 통해 사회적으로 신뢰할 수 있는 인물이나 기관을 사칭하고, 업무 관련 문서나 초청장 등으로 위장한 파일을 통해 악성코드를 유포한다. 최근에는 구글 드라이브, 드롭박스 등 클라우드 서비스를 명령제어(C2) 채널로 악용하는 수법도 늘고 있다.</p> <p contents-hash="2bbecb761b0ddbde1f3c208d4464aa64c824f8d9fc8daefd06ea7181b6913b73" dmcf-pid="W5mxqGtsCJ" dmcf-ptype="general">염흥열 순천향대 정보보호학과 교수는 이번 공격에 대해 “기술이나 특허 정보를 탈취하려는 것보다는 정부 정책이나 활동 동향을 파악하려는 목적이 더 크다”고 강조했다.</p> <p contents-hash="9efb3440c0412dcf72b88cc561649d8ba2432ee0d16472ac176294218b71c5cd" dmcf-pid="Y1sMBHFOWd" dmcf-ptype="general">이어 “김수키는 외교, 국방, 학계 등 분야별로 역할을 나눈 팀들이 동시에 공격을 벌이고 있다”며 “새 정부 차원에서 사이버 보안의 심각성을 인식하고 기업, 정부, 국민이라는 3개 주체의 정보보호 수준을 함께 끌어올리는 노력이 필요하다”고 말했다.</p> <p contents-hash="f011286ce8b5048206fb48a2874c56f56801864c737dc9932b09c7b76211b4ea" dmcf-pid="GtORbX3ISe" dmcf-ptype="general">ASEC 관계자는 “최근 APT 공격은 피해자의 일상 업무와 유사한 콘텐츠로 접근해 경계심을 무너뜨리는 방식”이라며 “출처가 불분명한 문서는 가급적 열람을 자제하고, 확장자와 보안 설정 등을 꼼꼼히 확인해야 한다”고 당부했다.</p> <p contents-hash="2eb21f3f274a14a1771227f305ec389d3a83189ae0e0326aaaeb0a85e5d70cca" dmcf-pid="HFIeKZ0CWR" dmcf-ptype="general">최연두 (yondu@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 챗GPT 상담 느는데…듣고 싶은 말만 하는 ‘아첨꾼 AI’에 골머리 06-13 다음 “이탈 고객 보상 포함돼야” SKT 대리점 속앓이 06-13 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
