2021년 김수키 그룹은 어떻게 움직였나
Contents
김수키(Kimsuky) 그룹은 많은 위협 분석가들이 북한을 배후에 두고 있는 위협 그룹으로 추정하고 있다. 정보 탈취를 목적으로 활동하는 지능형지속위협(APT) 그룹으로 알려져 있으며, 2013년 9월 러시아 보안업체 카스퍼스키(Kaspersky)에 의해 처음 알려졌다. 그리고, 현재까지도 활동을 계속해오고 있다.
이번 글에서는 2021년 1월부터 12월까지 확인된 김수키 그룹의 주요 활동들에 대해 알아본다.
김수키(Kimsuky) 그룹은 2020년까지 주로 한글 파일 내부에 악성코드를 삽입해 유포했지만, 2021년에는 MS 오피스 문서에 악성코드를 삽입하기 시작했다. 현재도 한글 파일을 사용하기는 하지만 미끼 문서(정상 파일)로만 활용하는 추세다.
월별로 보면, 지난해 3월부터 원고 작성에 대한 소정의 사례비 지급의 명목으로 금전과 관련된 주제를 사용한 악성코드가 많이 유포되었다.
[그림 1] 악성 워드문서 내용 중 일부
6월에는 국내 에너지 및 항공우주산업 분야의 해킹 사건이 알려졌고 김수키 그룹이 배후에 있다는 언론보도가 나왔다. VPN 취약점을 이용해 내부에 침투한 것으로 알려졌으나 자세한 내용은 확인되지 않았다.
같은 달에 특정 단체 및 인물을 사칭한 스미싱 공격을 전개했으며, 한국인터넷진흥원(KISA)의 모바일 백신으로 위장한 APK(Android Application Package) 파일을 유포했다. 해당 APK를 설치해 …
이번 글에서는 2021년 1월부터 12월까지 확인된 김수키 그룹의 주요 활동들에 대해 알아본다.
김수키(Kimsuky) 그룹은 2020년까지 주로 한글 파일 내부에 악성코드를 삽입해 유포했지만, 2021년에는 MS 오피스 문서에 악성코드를 삽입하기 시작했다. 현재도 한글 파일을 사용하기는 하지만 미끼 문서(정상 파일)로만 활용하는 추세다.
월별로 보면, 지난해 3월부터 원고 작성에 대한 소정의 사례비 지급의 명목으로 금전과 관련된 주제를 사용한 악성코드가 많이 유포되었다.
[그림 1] 악성 워드문서 내용 중 일부
6월에는 국내 에너지 및 항공우주산업 분야의 해킹 사건이 알려졌고 김수키 그룹이 배후에 있다는 언론보도가 나왔다. VPN 취약점을 이용해 내부에 침투한 것으로 알려졌으나 자세한 내용은 확인되지 않았다.
같은 달에 특정 단체 및 인물을 사칭한 스미싱 공격을 전개했으며, 한국인터넷진흥원(KISA)의 모바일 백신으로 위장한 APK(Android Application Package) 파일을 유포했다. 해당 APK를 설치해 …