한미(韓美) 합동 보안권고문 : 북한 킴수키(Kimsuky) 조직의 싱크탱크, 학계, 미디어 대상 사회공학적 기법을 악용한 해킹공격 주의!

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 

6월 2일, 대한민국 국가정보원(NIS)ᆞ경찰청(NPA)ᆞ외교부(MOFA)와 미합중국 연방수사국(FBI)ᆞ국무부(DoS)ᆞ국가안보국(NSA)은 공동으로 북한 정권과 연계된 사이버 행위자들이 전세계의 연구소ᆞ싱크탱크ᆞ학술기관ᆞ언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취(CNE) 공격에 대한 경각심을 높이기 위해 합동 주의보를 발표하였습니다. 

북한 사이버 행위자들은 주로 실존하는기자, 학자 또는 대북정책 그룹과 신뢰할만한 연관성을 가진 개인들을 사칭하여 스피어피싱 공격을 수행하는 것으로 알려져 있으며, 북한은 공격 대상의 사적인 문서, 연구 결과 및 통신 내용에 불법적으로 접근하여 지정학적 사안들, 외교정책 및 전략, 그리고 북한 정권의 이익에 영향을 주는 외교적 사안들에 대한 정보를 수집하기 위해 사회공학적 기법을 사용한다고 알려져 있습니다. 

 

사회공학이란 기만을 통해 인간의 실수를 파고들어 공격 대상이 자신도 모르는 사이에 기밀이나 민감한 정보를 누설하도록 악의적인 목적 하에 조종하는 것이라는 넓은 의미를 가지고 있습니다. 킴수키 조직은 다양한 사회공학 기법들을 지속적으로 발전시켜 나가고 있습니다. 

 

이번 보안권고문에서는 킴수키 해킹조직이 자주 사용하는 사회공학적 기법에 대해 소개하며 주의를 당부하고 있습니다.

 

 

기자 사칭

북한 관련 업무에 종사하는 유명인사들에게 질문하기 위해 실제 기자들과 방송 작가들을 사칭하며, 최초 이메일에는 악성 컨텐츠를 첨부하지 않습니다. 하지만, 만약 공격 대상이 해당 이메일에 회신을 하면 공격자들은 악성 컨텐츠가 포함된 두 번째 이메일을 발송하는 형태로 공격을 진행합니다. 

 

#사례 1

 

[최초 이메일]

제목 : [<실제 한국 언론사 프로그램 이름>] 인터뷰 요청
<박사 이름>박사님 안녕하세요, <한국 언론사 프로그램 이름> <작가 이름>작가입니다.
다름이 아니오라 제가 요즘 북한 관련 프로 준비중인데 전문가님의 도움이 필요해서입니다.
그저 간단히 몇 가지 질문에 대한 답변글 주시면 됩니다.
<대학교 이름> <교수 이름> 교수님께 부탁했더니 박사님 추천하시더라구요.
그럼 긍정적 답변 기다리겠습니다. 감사합니다.

 

[후속 이메일]

제목 : RE: RE: [<한국 언론사 프로그램 이름>] 인터뷰 요청
박사님 질문지 보내드립니다.
매 질문에 대한 답변글을 4-5 줄 정도로 해주시면 됩니다.
잘 부탁드립니다. <작가 이름> 작가 드림
@첨부 파일 : [<한국 언론사 프로그램 이름>] 질문지. docx

 

 

#사례 2

 

안녕하세요, <실제 미국 언론사 이름>의 <실제 기자 이름>입니다. 잘 지내고 계시죠?
북한은 지난 10 월 4 일 또다시 미사일을 발사하는 등 변화한 시대에도 불구하고 여전히 구식
전략을 사용하고 있습니다. 북한이 일본 열도 상공을 통과하는 미사일을 발사한 것은 트럼프 前
대통령이 집권하고, 김정은이 미국과의 갈등 수위를 고조시키려는 의도인 것처럼 보였던 2017 년
이후 처음입니다.
현재 상황에 관련된 질문을 몇 가지 드리고 싶습니다.
1) 10 월 중순으로 예정된 중국의 당대회 직후 북한이 핵실험을 감행할까요?
2) 북한의 공격에 대한 보다 조용한 접근법이 더 타당할까요?
3) 일본이 방위 예산을 늘리고 보다 적극적인 방위정책을 들고 나올까요?
질문들에 대한 답변을 5 일 이내에 보내주시면 감사드리겠습니다.
좋은 주말 보내십시오. <실제 기자 이름> 드림

 

 

학자 사칭

 

국내 학자들을 사칭하여 싱크탱크 연구원들을 대상으로 북핵 및 한반도 비핵화에 대한 전문가 설문조사 또는 이메일 인터뷰 참여 요청 등의  스피어피싱 이메일을 발송하기도 합니다. 이후 공격대상이 설문 참여 요청에 응할 경우, 킴수키는 악성 컨텐츠가 포함된 설문지와 사례비 지급 서류를 송부합니다. 

 

 

#사례 1

 

[최초 이메일]

제목 : [<한국 싱크탱크 이름> 설문조사 요청의 건]
<싱크탱크 직원 이름>선생님, 안녕하십니까?
<한국 싱크탱크 이름>의 <연구원 이름> 연구원입니다.
사전연락 없이 메일 드린 점 양해 해주길 바랍니다.
다름이 아니오라 현재 저희 연구소에서 진행중인 북한의 핵고도화 정책과 관련하여 선생님께
설문조사를 의뢰드리기 위해서입니다.
본 설문조사의 주제는 ‘북핵 고도화와 한반도 비핵화에 대한 국내 전문가 인식조사’이며, 이번
설문조사를 통하여 북해문제 해결 및 한반도 비핵화를 위한 정책 방안을 모색하고자 합니다.
모든 응답 내용은 비공개로 처리되며 본 연구를 위해서만 사용되오니 아무쪼록 성심성의껏
도와주시길 바랍니다.
설문에 응해주실 경우 소정의 사례비(30 만원)을 지급하고자 합니다. 수락 여부 회신주시면 설문지
보내드리도록 하겠습니다.
긍정적 답변 기다리겠습니다.
감사합니다.
<연구원 이름> 드림

 

[후속 이메일]

제목 : RE: RE: [<한국 싱크탱크 이름> 설문조사 요청의 건]
<한국 싱크탱크 직원> 선생님 회신이 늦어 죄송합니다. (요즘 정신이 없다보니...)
성심껏 답해주시느라 고생하셨습니다.
사례비 지급 관련 필요한 서류(개인정보동의서)를 별첨 송부드리니,
소속/성명/주민번호/은행명 및 계좌번호/자필서명을 기입하시고 통장 및 신분증 사본을
첨부하셔서 회신해주시면 대단히 감사하겠습니다.
공사로 다망하시겠으나 <기한 날짜>까지 회신해주시면 대단히 감사하겠습니다. 관련하여
문의사항이 있으시면 언제든 편하게 연락 부탁드립니다.
갑사합니다.
<한국 대학교 연구소 연구원 이름> 드림
P.S. 문서를 보호하였습니다. 비번은 password.txt 파일로 함께 보내드립니다.
@첨부 파일 : 개인정보이용동의서

 

#사례 2

 

[최초 이메일]

수신 : <외교 문제 전문가 이름>
제목 : Re : 인터뷰 요청
<외교 문제 전문가 이름>께,
교수님들이 바쁘신 관계로 답변이 늦어 죄송하고 친절하게 답변해주셔서 정말 감사드립니다.
<실제 미국 대학교 교수 이름> 교수님과 협의 결과 약간의 수정사항이 발생하였는데, 아래 링크를
확인해보시고 만약 다른 의견이 있으시면 알려주십시오.
https: <악성 드라이브 링크>
비밀번호 : <비밀번호>
<가상의 대학생 이름> 드림

 

[후속 이메일]

수신 : <외교 문제 전문가 이름>
참조 : <학자 이름>
빠른 회신 감사드립니다. <실제 미국 대학교 교수 이름> 교수님과 다시 협의한 결과 선생님께서
말씀해주신 방향으로 마무리짓기로 하였습니다. 아래 업데이트된 내용을 확인해주시기 바랍니다.
https: <악성 드라이브 링크>
비밀번호 : <비밀번호>
현재로서는 최종 검토를 마친 뒤 일주일 내에 저희 웹사이트에 업로드할 계획입니다. 관련하여
궁금하신 점이 있으시면 언제든지 연락주십시오. <가상의 대학생 이름> 드림

 

 

싱크탱크 연구원 사칭

킴수키 해커들은 실제 한국 싱크탱크 연구원들을 사칭하여 정치 전문가와 북한 전문가들에게 스피어피싱 이메일을 보내며, 유대관계를 형성하기 위하여 정상 이메일을 통해 소통을 시작하며 다양한 주제들에 대한 의견을 구합니다. 이후 답장이 오면 '악성 링크 및 파일'이 포함된 메일 및 '첨부파일 열람 방법 안내'와 같은 메일 등을 여러 차례에 걸쳐 주고받는 과정을 거치며, 심지어 피해자 계정정보를 탈취하고 공격에 성공한 후에도 '감사 인사' 메일을 피해자에게 추가로 발송하기도 합니다. 

 

#사례 1

 

[최초 이메일]

제목 : [의견요청] <한국 싱크탱크 명>] <부원장 이름>입니다.
안녕하십니까? <한국 싱크탱크명> 부원장 <부원장 이름>입니다.
현재 연구소에서 적성중인 글에 대해 논의하기 위해 연락드렸습니다.
주제는 “북의 외교정책과 한국의 대응”입니다.
전공과 다소 거리도 있고 연구도 미약하여 되도록 많은 분들과 의견을 함께 하였으면 합니다.
교수님이 적중한 분이라 생각 들어 메일 드리는 것이오니 양해 바랍니다.
일전에 교수님이 쓰신 글 읽으면서 literally 한줄 한줄 무릎을 치며 공감했습니다.
이렇게 코멘트 요청을 드린 이유이기도 합니다.
그럼 답장 기다리겠습니다. 감사합니다.

 

[후속 이메일]

제목 : RE: RE: [의견요청] <한국 싱크탱크명> <부원장 이름>입니다. <대용량파일 1 개> 흔쾌히 수락해 주셔서 감사합니다. 자료 파일 별첨하여 송부드립니다. 자료 일독하신 후 의견 몇자 주시면 감사하겠습니다. 보안상 비번(<비밀번호>)을 추가하였습니다. 해킹이 심한 시대라... 아직 편집중의 초고라 많이 미숙한 점 양해 바랍니다. 그럼 귀하신 의견 기다리겠습니다.

 

 

#사례 2

 

[최초 이메일]

<싱크 탱크 직원 이름>님 안녕하세요
<사칭하는 싱크 탱크명>을 대표하여, 최근 북한 도발 관련 1,200 단어 분량의 분석 글 작성을
청하게 되어 영광입니다.
지난 10 월 4 일 최근 일본 열도를 넘어 발사한 중거리탄도미사일(IRBM)과 10 월 6 일 2 발의
단거리탄도미사일(SRBM) 발사를 포함하여 최근 일련의 북한 미사일 발사는 북한이 추진중인
수많은 미사일 개발을 상기 시켜주고 있습니다.
서술을 요청드린 논고의 주제는 다음과 같습니다.
1) 10 월 중순 중국공산당대회 직후 북한이 차기 핵실험을 실시할 것인지?
2) 북한의 침략에 대해 보다 조용한 접근이 보장될 수 있는지?
3) 일본은 국방예산을 증액하고 보다 적극적인 국방정책을 펼칠 것인지?
제게 10 월 21 일까지 회신하여 주시기를 부탁드립니다. 또한, 글의 제목은 원하시는 대로 하셔도
무방합니다. 또한, 480 달러 가량의 소정의 원고료를 지급할 수 있음을 알려드립니다.
귀하께서 작성에 응해주신다면 대단히 감사하겠습니다.
감사합니다.
선임 연구원, <사칭하는 싱크탱크 직원 이름>
부서명, <사칭하는 싱크탱크 명>

 

[후속 이메일]

<싱크 탱크 직원 이름>님 안녕하세요
답변이 늦어 죄송합니다.
말씀드린대로, 첨부파일을 확인해 주시고, 혹시 문제가 있는 경우 알려주십시오.
PW: <0000>
감사합니다.
선임 연구원, <사칭하는 싱크탱크 직원 이름>
부서명, <사칭하는 싱크탱크 명>

 

 

정부 관료, 법집행 기관, 포털사이트 관리자 사칭

 

한국 국회나 대통령실 등 정부기관 내 북한 관련 정책을 담당하는 인물을 사칭하여 공격 대상에 접근하기도 합니다. 이들이 사칭하는 인물은 이미 사전 공격을 통해 계정을 탈취 당했을 가능성이 크며, 대상자의 메일 송수신 내용이나 주소록 정보로부터 획득한 대상자의 특정 직위, 일정 등 구체적인 정보를 언급하며 신뢰를 얻습니다. 


#사례 1

 

제목 : <국회의원> 국회의원실 세미나 “윤정부 통일정책 제언”
안녕하세요, <국회의원> 국회의원실 <국회의원 비서>입니다.
어제는 바쁘신 와중에도 장시간 저희 세미나를 위해 함께해 주시고 귀한 말씀 들려주셔서 정말
감사했습니다. 덕분에 좋은 회의가 되었습니다.
번거로우시겠지만, 어제 발언하신 취지를 A4 1 장 정도로 요약하셔서 제게 보내주시면, 회의
증빙으로서 큰 도움이 되겠습니다.
그리고 어제 계셨던 분들은 사례비 지급의뢰서를 작성해주셔서 다 받았습니다만, 차장님께서는
양식대로 작성하신 후에 저에게 회신해 주시면 감사하겠습니다.
비번 : <비밀번호>
서류들을 취합하면 다음주에 사례비를 기안하여 진행하겠습니다.
그럼, 조만간 또 모실 기회가 있기를 바라겠습니다. 즐거운 주말 되세요. 감사합니다.
<국회의원 비서> 드림

 

대상자의 이메일 계정이 불법 사건에 연루되었다고 속이기 위해 수사 기관 또는 사법 당국을 사칭하기도 합니다. 수사 기관의 권위를 이용하여 공격 대상에 접근함으로써, 대상자의 계정이 탈취되어 국가 안보 또는 범죄와 관련된 사건에 연루되었을 가능성이 있다고 피해자들을 협박합니다.

 

#사례 2

제목 : <합법적인 한국 수사기관>의 <합법적인 수사관>입니다.
안녕하세요, <합법적인 한국 수사기관>의 <합법적인 수사관>입니다.
귀하의 이메일 계정을 이용하여 유튜브에 국가보안법에 위반되는 게시물이 등록되었습니다.
링크: <비디오 링크> 귀하가 <날짜: 0000. 0. 0>에 올린 영상입니다.
게시자명: <대상자>
위의 게시자는 탈북민들을 음해하는 게시물을 올리기도 하였습니다. 정확한 게시물 등록자를
찾아내는데 협조바랍니다.
1) 귀하의 컴퓨터 매체 접근 제어 주소(MAC 주소), 이더넷 하드웨어 주소(고유식별정보) 등이
요구됩니다. 이는 귀하의 이메일 계정에 대한 불법 접속을 추적하는데 반드시 필요한 사항입니다.
2) 컴퓨터에서 두 주소를 얻어 메일로 회신하시든가 아니면 아래의 첨부파일에 의해 얻어지는
문서를 회신해 주시기 바랍니다. <점검툴.zip>
3) 메일을 받으신 후 24 시간 내로 회신해주시고 메일은 바로 삭제하여 주시기 바랍니다.

 

유명 포털사이트 운영자나 관리자를 사칭하여, 계정에서 비정상적인 활동이 감지되었거나 불법 계정으로 등록되어 대상자의 계정 사용이 중지되었다고 주장하며, 피해자들이 개인 정보 보호 및 계정 잠금 해제를 위해 메일에 첨부된 링크를 클릭하여 비밀번호 변경 등 조치를 수행하도록 권고합니다. 첨부된 링크는 합법적인 포털 사이트의 로그인 창으로 위장된 피싱 페이지로 연결되어 대상자의 계정 아이디, 비밀번호를 포함한 개인정보를 입력하도록 하며, 이 때 입력된 개인정보가 북한 사이버 행위자들에 의해 탈취되게 됩니다. 

 

 

#사례 3

 

제목 : 회원님의 <합법적인 포털 사이트> 계정 비밀번호가 유출되었습니다.
누군가가 미승인 애플리케이션을 사용하여 회원님의 계정(<이메일 주소>)에 로그인을
시도했습니다. 세부정보는 다음과 같습니다.
일시 : 0000 년 00 월 00 일 (요일) 00:00 (한국 표준시)
IP 주소 : 00.00.000.00
위치 : 미국(워싱턴)
회원님의 소중한 계정정보를 보호하기 위해 지금 바로 비밀번호를 변경해주세요. 아래 링크를 통해
비밀번호를 변경할 수 있습니다.
<메일 변경하기 링크>
즉시 비밀번호를 변경하지 않는 경우, 계정보호정책에 따라 회원님의 계정이 영구삭제 또는
폐쇄됩니다.

 

 

킴수키 조직의 사회공학적 기법을 이용한 공격을 예방하려면 다음과 같은 조치를 취하시길 권고 드립니다. 

 

 

사용자

 

1) 강력한 암호, 다단계 인증, 바이러스 백신 설치 등과 같은 기본적인 사이버 보안조치를 이행해야 합니다. 

 

2) 출처가 확인되지 않는 이메일을 통해 받은 문서의 매크로 실행을 금지해야 합니다. 

 

3) 출처가 확인되지 않는 이메일을 통해 공유되는 클라우드 호스팅 서비스 상의 문서의 열람은 지양해야 합니다. 

 

4) 신분, 연관된 소셜미디어 또는 계정 등의 진위 여부 확인, 특정인과 기존에 소통하고 있었을 경우, 악성일 가능성이 있는 새로운 이메일 주소 또는 계정과 소통하지 말고 기존에 알고 있던 정상적인 연락처 이용해야 합니다. 

 

5) 수상함을 느끼는 경우 해당 단체의 공식 웹사이트에 문의하시기를 권고 드립니다. 

 

6) 상대의 신분을 여전히 확신할 수 없을 경우, 소통을 계속하기 전에 유선 또는 화상전화를 통해 신분을 확인해야 합니다. 북한 사이버 행위자는 가상환경 밖에서는 소통하지 않는 것으로 알려져 있기 때문입니다. 

 

7) 수신된 문의 이메일의 출처를 확인할 수 없는 경우, 회신 전에 발생할 수 있는 위험요소를 고려해야 합니다. 

 

8) 이메일로 제공된 URL 을 클릭하지 말고 검색엔진을 통해 웹사이트를 검색하는 것을 권고 드립니다. 

 

9) 별도의 메시지 플랫폼으로 이동하여 소통하자고 요청이 올 경우 주의해야 합니다. 

 

10) 문서를 보낼 때에는 확인된 이메일 주소로만 전송해야합니다. 

 

 

시스템 관리자

 

1) 주기적인 보안인식교육을 통하여 사이버 공격 위험에 대한 사용자들의 경각심을 높혀야 합니다. 

 

2) 피싱 방지를 위해 가능한 많은 서비스, 특히 웹메일, 가상사설망(VPN), 핵심 시스템 접속 계정, 백업 관리 주요 계정들에 대해 다단계 인증(MFA)을 요구해야 합니다. 

 

3) 주기적인 서비스 포트 점검을 통해 네트워크가 데스크톱 공유 소프트웨어나 가상사설망(VPN), 가상사설서버(VPS)를 통해 원격 접속되고 있는지 확인해야 합니다. 특히 데스크톱 공유 소프트웨어 또는 가상사설망 서비스 사용을 통한 계정 접속이 통상적인 관행이 아니라면 확인해야 합니다. 

 

4) 원격 데스크톱 프로토콜(RDP) 또는 여타 잠재적으로 위험한 원격 서비스의 사용을 허용하고 있을 경우, 면밀히 확인하고 보안조치를 취해야합니다. 

 

5) 액티브 콘텐츠(Active Content) 공격이 실행되지 않도록 보호된 보기 모드에서는 문서 뷰어를 통해 열람하도록 적용해야합니다.

 

6) 운영체제, 소프트웨어 및 펌웨어를 항상 최신 버전으로 유지해야 합니다. 

시의 적절한 패치 설치는 각 기관이 사이버 위협에 대한 노출을 최소화하기 위해 취할 수 있는 가장 효율적이고, 비용 대비 효과적인 방법 중 하나입니다. 소프트웨어 업데이트와 서비스 기한 만료 공지를 정기적으로 확인하고, 이미 알려진 보안 취약점에 대한 패치에 우선 순위를 부여해야 하며, 자동적으로 신속히 수행하기 위하여 패치관리시스템 사용도 고려해야 합니다. 

 

7) 바이러스 백신 및 악성프로그램 방지 소프트웨어를 모든 계정에 설치하고, 정기적으로 업데이트 해야 합니다. 

 

8) 상황에 따라 소프트웨어를 설치할 때 관리자 자격 증명을 요구하는 것도 고려해야 합니다. 

 

9) 조직 외부에서 오는 이메일에 대해 위험도가 더 높다는 것을 사용자가 인지할 수 있도록 이메일 배너를 추가하는 것도 고려해야 합니다. 

 

10) 이번 보안 권고문에 포함된 공격 사례들과 일치하는 이메일을 차단하기 위하여, 관련 규칙을 추가하는 것도 고려해야 합니다. 뿐만 아니라 가능하다면 아직 열어보지 않은 악의적 이메일들을 이메일 서버 상에서 확인하는 방법을 찾아보아야 합니다.  이러한 과정을 통하여 악의적 이메일 인자들을 확인하고 이러한 방식의 공격이 누구를 대상으로 하는지 이해할 수 있기 때문입니다. 

 

11) 이메일 도메인 위에서 기술한 공격 수법들에 대한 위험을 직접적으로 완화시키진 못할 수 있으나, 일반적으로 특정한 방식의 이메일 스푸핑을 어렵게 만들어주는 DMARC 및 DKIM을 적용하는것도 고려해야 합니다. 

* DMARC(Domain-based Message Authentication, Reporting and Conformance): 이메일 도메인 소유자가 무단 사용으로부터 도메인을 보호하기 위해 사용하는 이메일 인증 프로토콜
* DKIM(Domain Keys Identified Mail): 이메일 발신자가 위조되지 않았음을 검증하는 방식

 

 

북한 해킹 조직의 공격이 점점 더 거세지고 있습니다.

 

사용자 및 대북 관련 종사자 여러분들께서는 해당 보안 권고문에 나온 공격 사례들을 정독하시고 유사한 공격에 각별히 주의하시기 바랍니다. 

 

더 자세한 내용은 여기를 참고하시기 바랍니다. 
 

 

 

 

 

참고 : 

https://www.ncsc.go.kr:4018/main/cop/bbs/selectBoardArticle.do?bsId=SecurityAdvice_main&nttId=44274&pageIndex=1