최근 사이버 보안 업계에서 큰 화제를 모은 소식 중 하나는 북한 해커 그룹 Kimsuky(일명 Sparkling Pisces)가 새로운 악성코드인 KLogEXE와 FPSpy를 이용해 공격을 강화하고 있다는 사실입니다. 이 두 가지 악성코드는 Palo Alto Networks의 Unit 42 연구팀에 의해 밝혀졌으며, 특히 한국과 일본의 주요 조직을 표적으로 삼고 있습니다.
이 블로그 글에서는 이 악성코드의 작동 방식과 특징, 그리고 이를 방어하기 위한 조치에 대해 살펴볼 것입니다. 이를 통해 독자들은 북한 해커 그룹의 최신 동향과 자신이 속한 조직이나 개인 정보가 어떻게 위협받을 수 있는지 명확히 이해할 수 있을 것입니다.
북한 해커 그룹 Kimsuky의 최근 동향
Kimsuky는 북한 정부와 연계된 해커 그룹으로, 주로 정보 탈취와 금전적 이득을 목적으로 사이버 공격을 수행하는 것으로 알려져 있습니다. 최근 발견된 KLogEXE와 FPSpy는 이 그룹의 지속적인 기술 발전을 보여주는 사례로, 특히 한국과 일본의 조직을 대상으로 한 스피어 피싱 공격을 통해 유포되고 있습니다.
KLogEXE: C++로 작성된 키로거
KLogEXE는 이전에 알려진 PowerShell 기반 키로거인 InfoKey의 업그레이드 버전입니다. C++로 작성된 KLogEXE는 다음과 같은 기능을 가지고 있습니다:
- 실행 중인 애플리케이션 정보 수집: 현재 시스템에서 동작하는 애플리케이션 정보를 지속적으로 모니터링합니다.
- 키스트로크 및 마우스 클릭 기록: 사용자가 입력하는 모든 키 입력과 마우스 활동을 기록하여 민감한 정보를 탈취할 수 있습니다.
- 수집한 정보 유출: 수집된 정보를 해커가 지정한 원격 서버로 전송합니다.
FPSpy: 다기능 백도어 악성코드
FPSpy는 2022년에 처음 발견된 백도어의 변종으로, 과거에 발견된 KGH_SPY 악성코드와 유사한 특징을 가지고 있습니다. FPSpy의 주요 기능은 다음과 같습니다:
- 키로깅: KLogEXE와 마찬가지로 사용자의 키 입력을 기록합니다.
- 시스템 정보 수집: 컴퓨터의 하드웨어 및 소프트웨어 정보를 수집하여, 시스템 환경을 파악하고 추가 공격을 계획할 수 있습니다.
- 추가 페이로드 다운로드 및 실행: 해커가 원격으로 추가 악성코드를 다운로드하여 실행할 수 있습니다.
- 임의 명령 실행: 해커가 지정한 명령어를 실행하여, 시스템을 완전히 장악할 수 있습니다.
- 드라이브, 폴더, 파일 열거: 시스템 내의 파일 및 폴더를 탐색하여 중요한 데이터를 찾습니다.
공격 대상 및 방식
Kimsuky 그룹은 주로 한국과 일본의 조직을 표적으로 삼고 있으며, 주된 공격 방식은 스피어 피싱 이메일을 이용한 악성코드 유포입니다. 스피어 피싱은 정교하게 위조된 이메일을 통해 수신자가 악성코드를 실행하도록 유도하는 기법입니다. 특히, Kimsuky는 정치적 또는 상업적으로 중요한 정보에 접근하기 위해 주로 정부 기관, 언론사, 그리고 연구기관을 대상으로 공격을 수행합니다.
코드 유사성 및 연관성
Unit 42 연구팀은 KLogEXE와 FPSpy의 소스코드에서 유사점을 발견했습니다. 이로 인해 두 악성코드가 동일한 개발자에 의해 제작되었을 가능성이 제기되고 있으며, 이는 Kimsuky 그룹이 지속적으로 개발자들과 협력하며 새로운 공격 수단을 개발하고 있다는 것을 의미합니다.
관련 인프라 분석
이번 공격과 관련된 인프라는 다음과 같습니다:
- www.vic.apollo-star7[.]kro.kr 도메인이 C2(Command and Control) 서버로 사용되었으며, 이는 152.32.138[.]167 IP 주소와 연결되어 있습니다.
- 유사한 도메인들이 동일한 이메일로 등록된 것으로 확인되었으며, 이는 여러 공격 활동이 서로 연계되어 있음을 시사합니다.
북한 해커 그룹의 다른 활동
이번 KLogEXE와 FPSpy 외에도 북한 해커 그룹들은 다른 분야에서도 활발히 활동하고 있습니다. 예를 들어, Citrine Sleet라는 그룹은 최근 Chromium 브라우저의 제로데이 취약점(CVE-2024-7971)을 이용해 암호화폐 산업을 공격했으며, STARKMULE로 알려진 그룹(APT37)은 미군 채용 문서로 위장한 피싱 공격을 수행하고 있습니다. 이러한 활동들은 북한의 해커 그룹들이 다양한 수법으로 전 세계를 위협하고 있음을 보여줍니다.
북한의 사이버 전력: 끊임없는 진화
북한은 약 7,000명의 해커를 보유하고 있으며, 이들은 금전적 이득을 취하거나 국가 기밀을 탈취하기 위해 전 세계적으로 활동하고 있습니다. 이들은 정부 지원을 받으며 꾸준히 새로운 공격 방식을 개발하고 있으며, KLogEXE와 FPSpy의 발견은 그들의 사이버 전력이 얼마나 빠르게 진화하고 있는지를 잘 보여줍니다.
결론: 북한 해커 그룹의 위협에 대비해야 할 시점
북한 해커 그룹들의 지속적인 공격은 한국, 일본, 그리고 전 세계 조직들에 커다란 위협이 되고 있습니다. KLogEXE와 FPSpy와 같은 새로운 악성코드는 이들이 얼마나 정교한 방식으로 보안을 위협하고 있는지 잘 보여줍니다. 이번 사례를 통해 우리는 사이버 보안의 중요성을 다시 한번 되새기고, 이러한 위협에 대응할 수 있는 철저한 방어 체계를 구축해야 합니다.
독자 여러분, 이러한 위협에 어떻게 대비하고 계신가요? 항상 최신 보안 업데이트를 적용하고, 정기적인 보안 교육을 통해 피싱 공격에 대한 인식을 높이는 것이 중요합니다. 또한, 조직 차원에서의 체계적인 대응 전략을 구축하는 것도 필수입니다.
북한 해커 그룹의 위협이 계속해서 진화하는 만큼, 우리의 대응도 그에 맞춰 지속적으로 발전해야 할 것입니다.