한국 주요 기관을 노리는 사이버 스파이 ‘Kimsuky’ 악성코드가 다시 활동을 시작해 주의가 요구된다. 주로 공공기관에서 많이 쓰는 한글문서 파일 보안 취약점을 악용한다.
지난해 9월 러시아 보안 회사 카스퍼스키랩은 한국 주요 기관을 대상으로 한 지능형지속위협(ATP) 공격을 ‘Kimsuky(김수키)’로 명명했다. 북한으로 추정되는 해커조직은 한글문서파일 취약점을 활용해 악성코드를 확산한 후 수년간 국방, 외교, 통일 관련 정부부처와 연구원, 탈북자 등의 정보를 수집했다.
안랩(대표 권치중)은 2월 말부터 지난해 공격에 사용된 악성코드와 동일한 유형 파일이 확인됐으며 3월에도 지속적으로 활동 중이라고 밝혔다. 3·20 사이버 테러 후 1년이 지난 가운데 2차 공격을 준비 중으로 추정된다. 이미 몇몇 공공기관이 Kimsuky 감염을 신고했다.
최근 발견된 Kimsuky는 지난해와 같이 취약한 한글문서 파일에서 최초로 감염이 이뤄졌다. 공격자는 이메일에 악성코드가 담긴 한글 파일을 첨부해 전달한다. 공격 목표인 내부 직원에 전달하는 스피어 피싱(Spear Phishing)이다.
한글문서 파일에서 문단 레이아웃을 담당하는 ‘HWPTAG_PARA_LINE_SEG’ 구조체에 악성코드가 숨어 있다. 지난해와 본문 내용만 다를 뿐 동일한 취약점이 사용됐다. 이 취약점은 이미 패치가 나와 보안 업데이트로 막을 수 있다.
Kimsuky는 PC에 설치된 안랩 안티바이러스솔루션 V3 방화벽과 윈도 기본 기능인 방화벽 무력화를 시도한다. 안랩 V3 방화벽이 실제로 수정되지는 않는다. PC 윈도 보안센터 서비스를 사용하지 않게 변경한다. 악성코드는 웹 메일로 주요 정보를 유출하고 공격자와 통신한다. PC 사용자가 입력하는 키보드 값도 모두 공격자에게 보낸다.
카스퍼스키랩은 지난해 스파이 활동 주체로 북한을 지목했다. 해킹 대상이 국내외 정세를 연구하는 민관기관, 국방정책 관련 출연기관, 국적 해운사, 통일 관련 그룹에 집중된 탓이다. 악성코드에 한국어 문자열이 있고 북한과 연결 가능성이 높은 중국 인터넷 회선을 사용했다.
양하영 안랩 책임연구원은 “이 악성코드는 전형적인 APT공격으로 해당 취약점은 프로그램 제작사에서 이미 패치가 나와 있다”며 “피해를 최소화하려면 패치 적용과 백신 최신버전 유지 등 기본적인 보안 수칙을 지켜야 한다”고 말했다.
김인순기자 insoon@etnews.com
