검색 - IT세상을 바꾸는 힘 지디넷코리아

ZDNet 검색 페이지

'김수키'통합검색 결과 입니다. (4건)

태그
기간
- 3개월
- 1년
- 1년 이전

재검색

韓 향한 사이버공격 '빈번'…10건 중 8건은 北 소행

최근 우리나라를 대상으로 한 사이버공격이 빈번해진 가운데 10건 중 8건이 북한의 소행인 것으로 파악됐다. 22일 로그프레소가 아홉 번째 발간한 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 리포트에 따르면 국가정보원은 지난해 우리나라 공공기관을 대상으로 한 사이버공격이 일평균 162만 건 정도 발생한 것으로 파악했다. 이 중 80% 정도를 북한발 해킹으로 분류했다. 로그프레소는 북한발 사이버 공격 사례와 실제 해커의 이메일 정보를 분석해 실제 북한의 소행인지 이번에 분석했다. 현재 북한은 아시아 태평양 네트워크 정보센터(APNIC, Asia-Pacific Network Information Centre)에서 공식적으로 할당받은 IP 대역과 러시아 및 중국 통신사가 제공하는 IP 대역을 사용 중이다. 북한에서도 인터넷을 이용하고 있으나 극히 제한적인 사용자만 외부 인터넷에 접속할 수 있다. 로그프레소는 전 세계에서 수집한 OSINT(Open Source Intelligence)를 활용해 공격자에 대한 분석을 시행했다. 과거 한국의 주요 공공기관을 공격했던 악성코드를 분석한 결과, 사이버 공격자가 북한과 직접적으로 연관된 특정 이메일 계정과 IP 대역을 이용했음을 확인할 수 있었다. 또 로그프레소는 미국 연방수사국(FBI)이 공소장에 공개한 북한 해커 박진혁의 이메일 주소를 확보해 이를 분석했다. 해당 정보를 근간으로 실제 북한 해커들이 사용했던 이메일 계정과 패스워드를 확인했으며 북한에 할당된 IP 대역을 통해 공격한 사실을 공개했다. 과거에는 악성코드를 분석해 공격 그룹을 조사했으며 C2 서버 관련 계정, IP 및 도메인 등을 활용해 추가 공격을 방어했다. 그러나 최근 들어 공격자들이 악성코드 정보에 다른 사람이나 집단의 정보를 사칭하는 위장 전술을 사용하면서 공격 그룹을 특정하기 위해서는 다각적인 분석 방법이 필요해지고 있다. 장상근 로그프레소 연구소장은 "사이버 공격이 첨예화되면서 이에 대응하기 위한 분석 기술 또한 고도화되고 있다"며 "사이버 공격과 공격자 집단을 효과적으로 연구하기 위해서는 OSINT 관점도 활용해야 할 것"이라고 말했다. 이번 CTI 리포트에서는 최근 발생했던 국내 대학교의 개인정보 유출 사고 사례도 함께 다뤘다. 대다수 기업과 기관들이 담당자를 채용해 보안관리 업무를 수행하고 있음에도 불구하고 즉각적인 조치가 어려운 이유와 기존 보안솔루션의 한계를 개선하기 위한 방안을 함께 소개했다. 로그프레소 관계자는 "근무 시간 외에 주말과 새벽, 공휴일 등에 이루어지는 공격에도 효과적으로 대응하기 위해서는 SOAR(Security Orchestration, Automation and Response) 도입을 추천한다"며 "보안 운영 업무를 자동화하고 표준화해 사이버 공격에 대응하는 평균 시간 'MTTR(Mean Time To Respond)'을 줄이는 것이 핵심"이라고 설명했다.

2024.10.22 16:07장유미

"김수키와 수법 비슷"...시스코, 북한 해커그룹 추가 정황 포착

북한 해커그룹이 새로운 해킹 프로그램으로 사이버 공격을 진행한 정황이 포착됐다. 해당 수법은 코드네임 '김수키'라는 기존 북한 해커그룹과 비슷한 것으로 전해졌다. 22일 미국 시스코 탈로스는 북한 해커그룹 'UAT-5394'가 '문피크(MoonPeak)'라는 새 해킹 프로그램 사용한 것을 포착했다고 밝혔다. 현재 사이버 공격 대상은 알려지지 않았다. 문피크는 원격 접근 트로이목마(RAT)로 이뤄진 해킹 프로그램이다. 해커는 이 프로그램으로 컴퓨터나 시스템에 들어가 정보를 탈취하거나 원격 제어를 할 수 있다. 문피크는 기존 악성 프로그램 제노RAT 변종판인 것으로 확인됐다. 시스코 탈로스는 해커 그룹이 강력한 해킹 프로그램 개발을 위해 문피크에 새 인프라를 적용했다고 분석했다. 해커들은 합법적인 클라우드 서버 사용을 멈추고 자체 서버 C2를 구축했다. 그동안 다수 해커는 제노RAT 등을 이용할 때 드롭박스나 구글드라이브 같은 일반적인 클라우드 서비스를 사용했다. C2 서버는 해킹에 필요한 악성 파일을 제공한다. 해커들은 이 서버를 통해 새 해킹 도구와 응용프로그램을 만들 수 있다. 이에 탈로스는 문피크에서 나온 새 악성 프로그램들이 더 복잡해지고 분석하기 어려워졌다고 밝혔다. 해킹에 대응할 수 있는 새 방안이 필요하다고 봤다. 시스코 탈로스 관계자는 "UAT-5394는 기존 해커그룹 김수키처럼 피싱을 통한 악성 소프트웨어 배포, RAT 활용, C2 서버를 통한 명령 전달 및 데이터 탈취 수법을 활용한다"며 "UAT-5394가 실제 김수키 또는 그 하위 그룹이거나 북한 사이버 기구 내에서 김수키 해킹 도구를 차용한 새 해킹 그룹일 수 있다"고 유추했다. 이어 "해킹그룹은 새로운 인프라를 통해 문피크 공격성을 꾸준히 높이고 있다"며 "해킹 분석을 방해하기 위한 추가적인 난독화 기술과 비인가 연결 방지를 위한 통신 메커니즘을 업그레이드했다"고 평가했다.

2024.08.22 09:46김미정

"구글이 보낸 메일이 아니네?"…교묘해진 北 해킹에 美 정부 사이버보안 '경고'

북한 해커들의 움직임이 갈수록 지능화되고 교묘해지고 있는 가운데 구글, 하버드대 등의 메일 주소를 사칭한 '이메일 피싱'이 최근 활발히 진행되고 있어 주의가 요구된다. 4일 업계에 따르면 미국 국무부와 연방수사국(FBI), 국가안보국(NSA)은 지난 2일 '북한 공격자들의 DMARC 정책을 악용한 스피어피싱에 주의'라는 제목의 공동 입장문을 내놨다. 이 입장문에는 북한 해커조직 '김수키(Kimsuky, APT43)'가 지난해부터 최근까지 시도해 온 공격 사례와 방식을 분석한 내용이 포함됐다. DMARC란 '도메인 기반 메시지 인증·보고·규정 준수(Domain-based Message Authentication, Reporting and Conformance)'의 줄임말로, 현재 전 세계에서 가장 보편적으로 쓰이는 이메일 도메인 보안 수단이다. 입장문에 따르면 김수키는 DMARC 인증의 취약점을 파악한 후 세계적으로 저명한 도메인들을 사칭에 활용했다. 구글, 하버드 대학이 대표적으로, 이들의 주소를 이용해 가짜 설문 조사, 행사 개최 이메일을 발송했다. 이를 통해 답변과 정보를 수집하거나 악성 코드가 포함된 첨부파일을 전송했다. 지난해 말부터 올 초까지 미국 정부, 국제기구 관계자들에겐 '미국의 대북 정책 컨퍼런스'라는 제목으로 이메일을 보내기도 했다. 직접 참석하면 교통비·숙박비를 지원하고 강연료 500달러를 제공한다는 내용이 포함됐으나, 모두 가짜였다. 첨부 파일을 여는 순간 악성 코드가 깔렸고 북한 해커들은 정보를 탈취했다. 3개 기관은 "북한은 세계 각국의 외교 전략과 경제 정책은 물론 학계의 연구 동향, 기업 간 통신과 주요 기업인의 사문서에 이르기까지 광범위하게 정보를 수집한 것으로 보인다"며 "단순히 도메인을 사칭하는 것을 넘어 언론인과 학자, 동아시아 문제 전문가 등 개인을 위장한 사례도 있어 주의를 요한다"고 밝혔다. 미국 국무부는 권고문을 통해 "미국 정부는 북한의 사이버 해킹 조직들의 지속적인 정보 수집 시도를 관찰해 왔다"며 "유엔 안보리 제재를 받은 북한의 군사정보 조직 정찰총국이 이런 활동의 주 책임 부서로 파악된다"고 말했다. 이번에 언급된 김수키는 에메랄드 슬릿(Emerald Sleet), APT43, 벨벳 천리마, 블랙 반시 등의 이름으로도 알려진 북한의 대표적인 사이버 해킹 조직이다. 지난 2023년 6월 한국 정부 대북제재 명단에도 별도로 등록된 악명 높은 조직으로, 한국수력원자력과 한국항공우주산업 등 공공기관에 해킹을 자행해왔다. 업계에선 북한의 목표가 한국이나 미국을 포함한 관련 국가의 최신 정보에 지속적으로 접근해 북한 정권 안보에 영향을 미칠 수 있는 정치적·군사적·경제적 조치를 방해하는 것이라고 봤다. 업계 관계자는 "북한은 스피어피싱(특정 목표의 정보를 캐내기 위한 피싱) 공격을 통해 표적에 접근한 뒤 외교 정책, 전략 등 북한의 이익이 걸린 다양한 정보 수집을 시도하고 있는 것으로 보인다"고 말했다. 3개 기관은 이메일 메시지가 해당 조직의 도메인에서 정상적으로 전송됐는지 여부를 인증하는 보안 프로토콜 DMARC의 정책적 강화를 권고했다. 개리 프레아스 구글 클라우드 맨디언트 수석 애널리스트는 "북한 정부와 해킹 조직의 사이버 공격 사례들을 분석해본 결과 미국과 동맹국들의 핵 무기 확산, 관련 규제 등에 대한 동향을 사전 수집하려는 의도가 있음을 파악했다"며 "DMARC 정책을 안전하게 갖춰 놓으면 피싱 등을 효과적으로 방지하는 데 큰 도움이 된다"고 밝혔다. 네일 쿠마란 지메일 그룹 제품 매니저는 "DMARC와 같은 표준은 이메일 발신자뿐만 아니라 수신자에게도 메시지의 출처와 진위 여부에 대한 신뢰를 심어주는 데 도움이 된다"며 "최근 수십억 명의 지메일 사용자를 안전하게 보호하기 위해 대량 발신자에게 DMARC 및 기타 주요 보안 및 인증 표준을 구현하도록 요구하기 시작했다"고 설명했다. 3개 기관은 '악의적인 북한 사이버 해킹 징후일 수 있는 위험 신호'로 ▲문장 구조가 어색하거나 문법이 틀린 영어 이메일 ▲이름과 이메일 주소 철자가 미묘하게 이상이 있는 이메일 ▲과거 정상적으로 주고받은 메시지 일부 내용과 텍스트가 포함돼 있는 이메일 등을 주의하라고 권고했다. 미 정보 당국은 "DMARC 정책을 안전하게 갖춰 놓으면 김수키와 같은 악의적 행위자가 공격 대상에게 스피어피싱 메시지를 보낼 때 해당 조직의 정상적 이메일 도메인 도용을 막을 수 있다"며 "DMARC 정책을 업데이트하고 사이버 보안 태세를 강화해야 한다"고 강조했다.

2024.05.04 11:00장유미

오픈AI "北 해킹조직 김수키, LLM 사용 확인...즉시 차단"

오픈AI가 북한의 해킹 조직 김수키가 대규모 사이버 공격에 인공지능(AI) 서비스를 사용한 정황을 확인하고 이를 제재했다고 밝혔다. 14일(현지시간) 실리콘앵글 등 외신에 따르면 마이크로소프트와 오픈AI는 인공지능(AI)관련 보안 리포트를 발표했다. 두 회사는 이번 리포트를 통해 사이버 공격에 AI서비스를 악용한 계정 5개를 차단했다고 밝혔다. 오픈AI는 조사결과 북한, 러시아, 중국 등 국가산하 해킹 조직에서 해당 계정을 사용한 것으로 나타났다고 발표했다. 더불어 재발 방지를 위해 해당 조직에서 사이버 공격에서 LLM을 악용한 방식까지 공개했다. 에메랄드슬릿으로도 알려진 북한의 해킹조직 김수키는 LLM을 이용해 여러 기업 및 사이버 보안 도구를 조사한 것으로 나타났다. 또한 해킹에 필요한 코드를 디버그하가니 스크립트를 생성하고, 피싱 공격에 사용할 수 있는 이메일 등의 콘텐츠 초안을 제작한 정황이 확인됐다. 마이크로소프트와 오픈AI는 김수키에 대해 지난 한해 매우 활발하게 활동한 해킹조직이라며, 스피어 피싱 이메일을 사용해 북한에 대한 전문 지식을 갖춘 저명한 개인으로부터 정보를 수집하고 있다고 설명했다. 이 밖에도 러시아 군사 정보 기관인 GRU 26165와 연계된 프로스트 블리자드와 이슬람혁명수비대(IRGC) 산하의 크림슨샌드스톰 등이 LLM을 악용한 것으로 나타났다. 이들은 주로 피싱 공격용 이메일을 생성하거나 탐지 회피 프로그램 개발 등에 LLM을 사용하는 것으로 나타났다. 마이크로소프트와 오픈AI는 AI 서비스에 대한 모니터링과 해킹 조직 추적을 통해 사이버 공격에 대한 위협을 지속적으로 제한할 것이라고 밝혔다. 오픈AI 측은 “악의적인 국가산하 해킹조직들의 AI 플랫폼 사용을 막기 위해 다각적인 접근 방식을 취하고 있다”며 “해킹 조직에 대한 지속적인 행동 추적을 비롯해 업계 관계자와 끊임 없이 보안 정보를 교류하고 투명성을 확보하려 하고 있다”고 밝혔다. 마이크로소프트 측은 “챗GPT 같은 AI기술을 안전하고 윤리적으로 사용할 수 있도록 지원하는 것이 우리의 목표”라며 “이를 위해 사용자 계정을 보호하고, 외부 침입을 막기 위한 방어자 역량을 강화하는데 전념하고 있다”고 말했다.

2024.02.15 08:54남혁우