북한의 킴수키, KGH_SPY와 CSPY라는 새 무기 통해 더 은밀하고 강력해져
최근 들어 활동량 늘기 시작해...한반도 정세 전문가들과 코로나 전문가들 특히 조심
[보안뉴스 문가용 기자] 북한의 사이버 정찰 단체인 킴수키가 새로운 무기를 손에 넣었다고 보안 업체 사이버리즌(Cybereason)이 발표했다. 따라서 제약 부문과 싱크탱크 단체들, 한반도 외교 부문 전문가들이 더욱 조심해야 할 것이라고 한다.
[이미지 = utoimage]
사이버리즌에 따르면 킴수키가 최근 확보한 무기들 중 하나는 KGH_SPY라고 한다. 민감한 정보를 탈취하고, 사용자를 가시하며, 임의 명령을 실행하고, 백도어를 심는 등 다양한 기능을 수행하는 요소들로 구성되어 있다. 여러 가지 애플리케이션과 윈도 요소들로부터 크리덴셜을 수집하는 강력한 기능을 가지고 있음에도, 현재까지 그 어떤 백신 제품도 이를 탐지하지 못하고 있다.
킴수키의 또 다른 무기는 CSPY라고 한다. 멀웨어 탐지 도구들을 피해가는 기능을 가지고 있다. 일종의 다운로더로 추가 멀웨어를 피해자의 시스템과 네트워크에 심기 전에 안전한 환경인지 미리 확인하기도 한다.
“이 두 가지 새 도구들을 봤을 때 킴수키가 최근 정보 수집에 더욱 집중하고 있다는 것을 알 수 있었습니다.” 사이버리즌의 위협 분석가인 아사프 다한(Assaf Dahan)의 설명이다. “또한 킴수키가 내부적으로 사용 불가능한 도구들을 어떤 식으로 처리하는지도 조금은 더 알게 되었습니다. 킴수키는 기능이 오래되거나 사이버 보안 전문가들에 발견된 도구들을 가차 없이 처분합니다.”
킴수키는 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로도 불리는 APT 단체다. 2012년부터 활동해 온 것으로 알려져 있다. 주로 북한 정부에 도움이 되는 정보를 수집한다. 다른 북한의 APT 단체들과 달리 금전적인 목적을 달성하기 위한 공격을 실시한 적이 아직까지는 없다.
다한은 “현재 킴수키는 제약 부문의 연구 기관들에 크나큰 위협이 되고 있다”며 “코로나 백신을 연구하는 조직들과 인권 단체들이 위험하다”고 강조했다. 또한 “교육 분야와 학술 기관, 정부 연구 조직과 한반도 정세와 관련된 보도를 하는 기자들도 공격 대상이 될 것”이라고 경고했다.
킴수키에 대해서는 지난 주 미국 FBI와 국토안보부, 미국 사이버사령부가 공동으로 발표한 바 있다. 세 기관은 킴수키가 주로 활용하는 전략과 전술, 기술에 대해 상세히 밝혔다. 사이버리즌과 마찬가지로 “전 세계 다양한 조직들을 대상으로 정보와 첩보를 수집하는 활동을 벌이고 있으니 킴수키가 주로 하는 워터링홀 공격과 스피어피싱 공격, 소셜 엔지니어링 공격에 주의하라”는 내용을 담고 있었다.
당시 세 기곤은 킴수키가 한국 매체 기자를 사칭해 피해자와 이메일을 주고받으며 신뢰 관계를 형성하고, 이를 통해 악성 링크를 보내는 방식으로 정보를 뺏어간다고 경고했었다. 게다가 구글 드라이브 링크를 활용해 피해자가 의심하지 않도록 하는 치밀함을 보이기도 했다. 이와 관련된 기사는 여기(https://www.boannews.com/media/view.asp?idx=92174)서 열람이 가능하다.
사이버리즌의 다한은 “현재 사이버 공간에서 활동하는 위협 행위자들 중 가장 위험한 단체 중 하나가 킴수키”라며 “그렇잖아도 부지런한 것으로 유명했던 단체가 최근 활동량을 늘리기 시작했다는 것은 중대한 경고 사항이 되어 마땅하다”고 설명했다.
3줄 요약
1. 킴수키, 얼마 전 미국 정부 기관들로부터 경고가 나옴.
2. 최근 사이버 보안 업체 역시 ‘킴수키가 새 무기를 가졌다’고 발표.
3. 근래 활동량이 급증한 킴수키, 한반도 정세 관련 전문가들과 제약 분야 특히 주의해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
최근 들어 활동량 늘기 시작해...한반도 정세 전문가들과 코로나 전문가들 특히 조심
[보안뉴스 문가용 기자] 북한의 사이버 정찰 단체인 킴수키가 새로운 무기를 손에 넣었다고 보안 업체 사이버리즌(Cybereason)이 발표했다. 따라서 제약 부문과 싱크탱크 단체들, 한반도 외교 부문 전문가들이 더욱 조심해야 할 것이라고 한다.
[이미지 = utoimage]
사이버리즌에 따르면 킴수키가 최근 확보한 무기들 중 하나는 KGH_SPY라고 한다. 민감한 정보를 탈취하고, 사용자를 가시하며, 임의 명령을 실행하고, 백도어를 심는 등 다양한 기능을 수행하는 요소들로 구성되어 있다. 여러 가지 애플리케이션과 윈도 요소들로부터 크리덴셜을 수집하는 강력한 기능을 가지고 있음에도, 현재까지 그 어떤 백신 제품도 이를 탐지하지 못하고 있다.
킴수키의 또 다른 무기는 CSPY라고 한다. 멀웨어 탐지 도구들을 피해가는 기능을 가지고 있다. 일종의 다운로더로 추가 멀웨어를 피해자의 시스템과 네트워크에 심기 전에 안전한 환경인지 미리 확인하기도 한다.
“이 두 가지 새 도구들을 봤을 때 킴수키가 최근 정보 수집에 더욱 집중하고 있다는 것을 알 수 있었습니다.” 사이버리즌의 위협 분석가인 아사프 다한(Assaf Dahan)의 설명이다. “또한 킴수키가 내부적으로 사용 불가능한 도구들을 어떤 식으로 처리하는지도 조금은 더 알게 되었습니다. 킴수키는 기능이 오래되거나 사이버 보안 전문가들에 발견된 도구들을 가차 없이 처분합니다.”
킴수키는 탈륨(Thallium), 벨벳 천리마(Velvet Chollima), 블랙반시(Black Banshee) 등으로도 불리는 APT 단체다. 2012년부터 활동해 온 것으로 알려져 있다. 주로 북한 정부에 도움이 되는 정보를 수집한다. 다른 북한의 APT 단체들과 달리 금전적인 목적을 달성하기 위한 공격을 실시한 적이 아직까지는 없다.
다한은 “현재 킴수키는 제약 부문의 연구 기관들에 크나큰 위협이 되고 있다”며 “코로나 백신을 연구하는 조직들과 인권 단체들이 위험하다”고 강조했다. 또한 “교육 분야와 학술 기관, 정부 연구 조직과 한반도 정세와 관련된 보도를 하는 기자들도 공격 대상이 될 것”이라고 경고했다.
킴수키에 대해서는 지난 주 미국 FBI와 국토안보부, 미국 사이버사령부가 공동으로 발표한 바 있다. 세 기관은 킴수키가 주로 활용하는 전략과 전술, 기술에 대해 상세히 밝혔다. 사이버리즌과 마찬가지로 “전 세계 다양한 조직들을 대상으로 정보와 첩보를 수집하는 활동을 벌이고 있으니 킴수키가 주로 하는 워터링홀 공격과 스피어피싱 공격, 소셜 엔지니어링 공격에 주의하라”는 내용을 담고 있었다.
당시 세 기곤은 킴수키가 한국 매체 기자를 사칭해 피해자와 이메일을 주고받으며 신뢰 관계를 형성하고, 이를 통해 악성 링크를 보내는 방식으로 정보를 뺏어간다고 경고했었다. 게다가 구글 드라이브 링크를 활용해 피해자가 의심하지 않도록 하는 치밀함을 보이기도 했다. 이와 관련된 기사는 여기(https://www.boannews.com/media/view.asp?idx=92174)서 열람이 가능하다.
사이버리즌의 다한은 “현재 사이버 공간에서 활동하는 위협 행위자들 중 가장 위험한 단체 중 하나가 킴수키”라며 “그렇잖아도 부지런한 것으로 유명했던 단체가 최근 활동량을 늘리기 시작했다는 것은 중대한 경고 사항이 되어 마땅하다”고 설명했다.
3줄 요약
1. 킴수키, 얼마 전 미국 정부 기관들로부터 경고가 나옴.
2. 최근 사이버 보안 업체 역시 ‘킴수키가 새 무기를 가졌다’고 발표.
3. 근래 활동량이 급증한 킴수키, 한반도 정세 관련 전문가들과 제약 분야 특히 주의해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
