.jpg)
[보안뉴스 김형근 기자] 미국 FBI가 북한의 국가 배후 위협 조직인 ‘김수키’(Kimsuky)가 악성 QR 코드를 삽입한 스피어피싱 캠페인을 벌이고 있다고 긴급 경고했다.
‘퀴싱’(Quishing)이라고 불리는 이 공격은 피해자가 기업 보안 정책이 적용된 PC 대신, 상대적으로 보호 수준이 낮은 개인용 모바일 기기를 사용하도록 유도하는 전략을 취했다.
김수키는 북한 정찰총국(RGB) 산하 조직으로, 에이피티43(APT43)이나 벨벳 촐리마(Velvet Chollima) 등 다양한 별칭으로도 알려진 숙련된 해킹 그룹이다.
[자료: gettyimagesbank]
이들은 주로 싱크탱크, 학술 기관, 그리고 미국 및 외국 정부 기관을 정밀 타격 대상으로 삼아 정교한 사회 공학적 기법을 동원했다.
특히 도메인 기반 메시지 인증(DMARC) 정책 설정 오류를 악용해, 마치 신뢰할 수 있는 기관에서 보낸 것처럼 위장한 이메일을 발송하는 수법을 사용했다.
FBI 조사 결과에 따르면 이들은 가짜 설문조사 참여나 보안 드라이브 접속, 존재하지 않는 컨퍼런스 등록 등을 명분으로 내세워 사용자가 QR 코드를 스캔하게 만들었다.
사용자가 QR 코드를 스캔하면 공격자가 제어하는 피싱 사이트로 연결되며, 여기서 구글 계정 정보 등 민감한 자격 증명이 탈취됐다.
최근에는 한국 서울 소재 물류 회사를 사칭해 닥스왑(DocSwap)이라 불리는 새로운 변종 안드로이드 악성코드를 유포한 정황도 포착됐다.
이러한 퀴싱 작전은 세션 토큰 탈취로 이어져, 해커가 다요소인증(MFA)을 우회하고 클라우드 계정을 탈취할 수 있도록 했다.
탈취된 계정은 조직 내부에서 2차 스피어피싱을 전파하는 거점으로 활용되어 보안 사고의 피해 범위를 기하급수적으로 확대시켰다.
공격 경로가 기업의 엔드포인트 탐지 및 대응(EDR)이나 네트워크 감시 범위를 벗어난 개인 모바일 기기에서 시작된다는 점이 방어자들에게는 치명적인 위협이었다.
FBI는 이러한 수법이 이제 기업 환경에서 다요소인증(MFA)을 무력화할 수 있는 높은 신뢰도의 침투 벡터로 자리 잡았다고 분석했다.
사용자들은 이메일에 포함된 출처 불분명한 QR 코드를 스캔하는 행위가 자신의 전체 업무 계정을 넘겨주는 도화선이 될 수 있음을 명확히 인지해야 한다. 또 조직 차원에서는 모바일 기기 관리(MDM) 정책을 강화하고, 임직원들에게 QR 코드를 활용한 새로운 피싱 기법에 대한 경각심을 고취시켜야 한다.
북한 해커들은 기술적 허점보다는 인간의 심리와 보안의 맹점을 파고드는 데 매우 능숙하며, 이번 퀴싱 공격은 그 대표적인 사례다.
따라서 기업 보안팀은 모바일 기기까지 포함하는 포괄적인 가시성을 확보하고, 실시간 위협 모니터링 체계를 재정비해야 한다.
킴수키의 이러한 공세는 2026년에도 더욱 지능화된 형태로 지속될 것으로 보이며, 국제적인 공조를 통한 기술적 방어책 마련이 시급하다.
결국 이번 사건은 일상적인 편의 도구인 QR 코드가 국가 배후 해커들에 의해 강력한 사이버 무기로 변모했음을 선언한 것이다.
보안의 경계가 PC를 넘어 개인 모바일 영역으로 확장되지 않을 경우 기업의 핵심 데이터 주권이 치명적으로 훼손될 수 있음을 시사한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
‘퀴싱’(Quishing)이라고 불리는 이 공격은 피해자가 기업 보안 정책이 적용된 PC 대신, 상대적으로 보호 수준이 낮은 개인용 모바일 기기를 사용하도록 유도하는 전략을 취했다.
김수키는 북한 정찰총국(RGB) 산하 조직으로, 에이피티43(APT43)이나 벨벳 촐리마(Velvet Chollima) 등 다양한 별칭으로도 알려진 숙련된 해킹 그룹이다.
[자료: gettyimagesbank]
이들은 주로 싱크탱크, 학술 기관, 그리고 미국 및 외국 정부 기관을 정밀 타격 대상으로 삼아 정교한 사회 공학적 기법을 동원했다.
특히 도메인 기반 메시지 인증(DMARC) 정책 설정 오류를 악용해, 마치 신뢰할 수 있는 기관에서 보낸 것처럼 위장한 이메일을 발송하는 수법을 사용했다.
FBI 조사 결과에 따르면 이들은 가짜 설문조사 참여나 보안 드라이브 접속, 존재하지 않는 컨퍼런스 등록 등을 명분으로 내세워 사용자가 QR 코드를 스캔하게 만들었다.
사용자가 QR 코드를 스캔하면 공격자가 제어하는 피싱 사이트로 연결되며, 여기서 구글 계정 정보 등 민감한 자격 증명이 탈취됐다.
최근에는 한국 서울 소재 물류 회사를 사칭해 닥스왑(DocSwap)이라 불리는 새로운 변종 안드로이드 악성코드를 유포한 정황도 포착됐다.
이러한 퀴싱 작전은 세션 토큰 탈취로 이어져, 해커가 다요소인증(MFA)을 우회하고 클라우드 계정을 탈취할 수 있도록 했다.
탈취된 계정은 조직 내부에서 2차 스피어피싱을 전파하는 거점으로 활용되어 보안 사고의 피해 범위를 기하급수적으로 확대시켰다.
공격 경로가 기업의 엔드포인트 탐지 및 대응(EDR)이나 네트워크 감시 범위를 벗어난 개인 모바일 기기에서 시작된다는 점이 방어자들에게는 치명적인 위협이었다.
FBI는 이러한 수법이 이제 기업 환경에서 다요소인증(MFA)을 무력화할 수 있는 높은 신뢰도의 침투 벡터로 자리 잡았다고 분석했다.
사용자들은 이메일에 포함된 출처 불분명한 QR 코드를 스캔하는 행위가 자신의 전체 업무 계정을 넘겨주는 도화선이 될 수 있음을 명확히 인지해야 한다. 또 조직 차원에서는 모바일 기기 관리(MDM) 정책을 강화하고, 임직원들에게 QR 코드를 활용한 새로운 피싱 기법에 대한 경각심을 고취시켜야 한다.
북한 해커들은 기술적 허점보다는 인간의 심리와 보안의 맹점을 파고드는 데 매우 능숙하며, 이번 퀴싱 공격은 그 대표적인 사례다.
따라서 기업 보안팀은 모바일 기기까지 포함하는 포괄적인 가시성을 확보하고, 실시간 위협 모니터링 체계를 재정비해야 한다.
킴수키의 이러한 공세는 2026년에도 더욱 지능화된 형태로 지속될 것으로 보이며, 국제적인 공조를 통한 기술적 방어책 마련이 시급하다.
결국 이번 사건은 일상적인 편의 도구인 QR 코드가 국가 배후 해커들에 의해 강력한 사이버 무기로 변모했음을 선언한 것이다.
보안의 경계가 PC를 넘어 개인 모바일 영역으로 확장되지 않을 경우 기업의 핵심 데이터 주권이 치명적으로 훼손될 수 있음을 시사한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
