하우리 로고 이미지

전체메뉴 열기

Check Virus Alerts and HAURI News

긴급 악성코드 이슈와 하우리 소식을 확인하세요.

하우리 소식

[보도자료] 북한 해킹 조직의 스피어피싱 메일 공격 실태
등록일 :
2024.01.03

[주의] 북한 해킹 조직의 스피어피싱 메일 공격 실태



◎ 작년 10개월 동안 스피어피싱에 사용된 메일서버 16개, 사칭 계정 24개로 국내외 주요 인사 수백여 명에게 발송

◎ 스피어피싱 메일 수신자 4명중 1명은 의심 없이 열람 후 회신 메일까지 발송, 악성코드 감염 가능성 높다.

◎ 공격 대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고, 자연스럽게 응대하다가 악성코드 배포

○ 보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr)는 북한 해킹 조직으로 알려져 있는 김수키(Kimsuky) 조직의 스피어피싱 메일이 심각한 보안실태를 초래하고 있다고 판단하여 특별한 주의가 필요하다고 밝혔다.

○ 이번에 확인된 스피어피싱 메일은 2023년 1월부터 10월까지 스피어피싱에 사용된 메일서버 16개, 사칭에 이용된 계정 24개로 400여명 이상의 국내를 비롯한 해외 주요 기관에 소속된 인사에게 발송됐으며, 실제 공격에 사용된 서버와 계정은 파악된 수보다 휠씬 더 많을 것으로 판단하고 있다.

[표 1] 북한 김수키(Kimsuky) 해킹 조직이 사용한 스피어피싱 메일 계정

○ 이번에 확인된 북한 해킹 조직의 스피어피싱 메일은 국내·해외를 막론하고, 연구기관 및 대학교 등을 대상으로 광범위하게 배포되었다. 특히 정치, 외교, 국방, 북한 전문가 분야 등에 소속된 교수, 기자, 고위공직자를 사칭하여 은밀하고 자연스러운 스피어피싱 메일을 지속적으로 보냈다.

(1) [국내] 스피어피싱 발송 사례

[그림 1] 국가안보실 정책 자문 요청으로 발송

(2) [해외] 스피어피싱 발송 사례

[그림 2] 한국대사관 직원으로 사칭하여 발송

○ 확인된 스피어피싱 메일들은 감염 대상에게 악성코드를 바로 첨부해서 보내는 것이 아니라, 새해맞이, 크리스마스 같은 안부메일이나 회의요청, 미팅요청, 자문요청, 전문가 의견요청 등으로 초기 미끼(Decoy)메일을 발송한 후 수신인이 관심을 보이는 응답메일을 보내왔을 때, 악성코드를 발송했다. 회신이 없는 경우는 더 이상 추가 공격을 하지 않거나 메일 열람을 유도하는 재촉메일도 발송하는 치밀함도 보였다.

○ 피싱 계정의 발신내역과 수신내역을 확인한 결과, 평균 25% 정도의 응답율이 확인됐다. 여기서 말하는 응답율은 수신자가 스피어피싱 메일을 받고 의심없이 발신자에게 회신메일을 보낸 수치이다. 메일 수신자가 회신메일을 보냈지만, 실제로 악성코드에 감염되었는지의 여부는 알 수 없다. 다만, 회신메일을 보낸 사용자라면 시스템 감염이 이루어졌을 가능성이 높다.

[그림 3] 피싱 계정에 따른 발신/수신 수치

○ 스피어피싱에 사용된 메일은 아래와 같은 메일제목(Subject)으로 초기 미끼메일을 발송했다.
한국CFO협회에서 개최하는 7/20(목) CFO조찬세미나 강연요청을 드립니다.Mongolia"s Role in Northeast Asia
[JoongAng] Request for your commentsNK PRO
[국가안보실 정책자문위원] 보안서약서 작성 및 회신을 부탁드립니다.Question on North Korea"s satellite launch
[동아시아연구원] 아시아민주주의연구네트워크(ADRN) 이슈브리핑 집필 요청Re: Book on Understanding North Korea
[통일부]자문요청Republishing post
국립외교원-한국원자력연구원 공동주최 전문가 토론회 (후쿠시마 오염수 방류) 개최 안내Request Comments from Honolulu Star-Advertiser
의견 요청Request Comments from RFA
인사Request for comments
comment pleaseRequest for Meeting(Korean Embassy)
emergence of Indigenous Nuclear Weapons DebateRequest for reviewing
Help Shape NK News: Take Our Survey and Win a Free Subscription!Request for thoughts
Humanitarian aid for north koreaRequest for your thoughts
Interview request from the Korea JoongAng Daily on the 70th anniversary of the Korea-U.S AllianceRequest for your thoughts on the May 7-8 Korea-Japan summit
IntroducingRequest from Princeton University
InvitationUpdating account information
Invitation for the Korea National Day 2022US policy on China
Invitation in a virtual workshop on South Korea"s relations and views on RussiaWriting for Global Observatory
Lunch Invitation to meet with Senior Deputy Minister for Foreign Affiars, Takehiro FunakoshiYonsei Comments Request
[표 2] 스피어피싱에 사용된 메일 제목 List

○ 해당 스피어피싱 메일은 APT 공격을 위한 공격 초기단계이며, 악성코드는 한글파일(.hwp), 문서파일(.doc, .docx), 클라우드 서비스를 이용한 다운로드(구글, MS 등), 윈도우 디스크 압축파일(.iso), 악성 스크립트 파일(.vbs), HTML 파일 등 다양한 타입으로 유포했다. 또한, 메일 보안솔루션에서 차단되지 않도록 압축 비밀번호를 설정하여 발송했다.

○ 사용된 악성코드는 백신 프로그램에서 탐지되어 삭제되지 않도록 특정 백신 프로그램의 설치여부를 확인하고 동작여부를 결정한다.

[그림 4] 특정 백신 프로그램 사용 여부 확인 소스 코드

○ ㈜하우리 보안대응센터는 "이번에 확인된 스피어피싱 메일들은 예전의 악성코드 배포방식과는 완전히 다르다. 대상의 정보에 맞게, 회신 내용에 따라 치밀하고 완벽하고, 자연스럽게 응대하다가 악성코드 배포를 시도하기 때문에 정상적인 메일소통과 다르지 않아 더욱더 위험하다." 고 말했으며, "2024년에도 APT 공격 그룹의 스피어피싱 메일은 국내, 해외를 막론하고 지속적이고, 다양한 형태로 발송될 것으로 예상되어 메일 사용에 각별한 주의가 필요하다." 고 밝혔다.



목록

Top