스피어피싱 메일 수신자 25%는 의심 없이 열람 후 회신
공격 대상의 정보에 맞게, 회신 내용에 따라 치밀하게 응대한 후 악성코드 배포
[보안뉴스 박은주 기자] 북한의 APT 공격 말단에는 피싱 메일을 통한 공격이 수반된다. 특히 김수키(Kimsuky) 조직이 발송하는 스피어피싱 메일이 심각한 보안 위협을 초래하고 있는 것으로 드러났다.
[이미지=gettyimagesbank]
보안전문기업 하우리(대표 김희천)는 2023년 1월~10월까지 계정 24개가 사칭 당하고, 메일서버 16개가 스피어피싱에 사용됐다고 밝혔다. 해당 메일은 국내와 해외 주요 기관 소속 인사 400명 이상에게 보내졌다. 실제 공격에 사용된 서버와 계정은 파악된 수보다 더 많을 것으로 예상된다.
▲북한 김수키 해킹 조직이 사용한 스피어피싱 메일 계정[자료=하우리]
북한 해킹조직의 스피어피싱 메일은 국내외는 물론, 연구기관 및 대학교 등을 대상으로 광범위하게 배포됐다. 특히 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭해 은밀하고 자연스러운 스피어피싱 메일을 지속적으로 보냈다.
▲(왼쪽부터)국가안보실 정책 자문 요청으로 사칭 메일 발송, 한국대사관 직원으로 사칭해 메일 발송[자료=하우리]
스피어피싱 메일은 감염 대상에게 악성코드를 바로 첨부해서 보내는 것이 아니다. 새해맞이, 크리스마스 같은 안부 메일이나 회의·미팅·자문·전문가 의견요청 등으로 초기 미끼 메일을 먼저 발송한다. 수신인이 관심을 보이는 회신이 왔을 때, 악성코드를 발송했다. 회신이 없는 경우는 추가 공격을 하지 않거나 메일 열람을 유도하는 재촉 메일도 보내는 치밀함을 보였다.
▲피싱 계정에 따른 발신·수신 수치[자료=하우리]
피싱 계정의 발신·수신 내역을 확인한 결과, 평균 25% 정도의 응답률을 나타냈다. 응답률은 수신자가 스피어피싱 메일을 받고 의심 없이 발신자에게 회신을 보낸 수치다. 메일 수신자가 회신했지만, 실제로 악성코드에 감염됐는지는 알 수 없다. 다만, 회신한 사용자라면 시스템 감염이 이루어졌을 가능성이 높다는 분석이다.
스피어피싱 메일은 APT 공격을 위한 공격 초기 단계이며, 악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도우 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 다양한 타입으로 유포했다. 또한, 메일 보안 솔루션에서 차단되지 않도록 압축 비밀번호를 설정해 발송했다. 사용된 악성코드는 백신 프로그램에서 탐지돼 삭제되지 않도록 특정 백신 프로그램의 설치 여부를 확인하고 동작 여부를 결정한다.
▲특정 백신 프로그램 사용 여부 확인 소스 코드[자료=하우리]
하우리 보안대응센터는 “이번에 확인된 스피어피싱 메일은 예전의 악성코드 배포방식과는 완전히 다르다. 대상의 정보에 맞게, 회신 내용에 따라 치밀하고 자연스럽게 응대하다가 악성코드 배포를 시도하는 것이 정상적인 메일과 다르지 않아 더욱 위험하다”며 “2024년에도 APT 공격그룹의 스피어피싱 메일은 국내외를 막론하고 지속적이며, 다양한 형태로 발송될 것으로 예상돼 메일 사용에 각별한 주의가 필요하다”고 밝혔다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>