북한 해커그룹 김수키, 암호화폐거래소·경찰청 사칭 공격

비트코인 시세 급등에 따른 관심 이용한 수법

컴퓨팅입력 :2019/05/29 14:45

국내 외교·안보 종사자 대상 사이버공격을 행했던 북한 해커 그룹 '김수키'가 암호화폐 거래소 '업비트'와 경찰청 사이버 안전국을 사칭한 악성메일을 유포했다.

유포된 메일은 유명 암호화폐 거래소와 경찰청 사이버 안전국을 사칭하고 암호화폐 민원 안내로 위장해 첨부된 악성파일을 실행하도록 유도한다. 기존 외교·안보 종사자 대상 사이버공격을 위해 악성파일을 북한 관련 정부 발표나 분석 보고서로 위장했던 과거 김수키의 수법과 차이를 보이는 부분이다. 이는 최근 비트코인 가격이 1천만원 선을 넘기면서 암호화폐에 집중된 사람들의 관심을 이용한 수법으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC)는 28일 두 가지 사이버 공격을 분석한 보고서를 자사 블로그에 게재했다.

암호화폐 거래소 '업비트'와 사이버 안전국을 사칭한 해킹 이메일 화면. (출처=이스트시큐리티)

두 공격 모두 사칭을 위해 이메일 주소를 조작했다.

업비트를 사칭한 공격의 경우 이메일에 '이벤트 당첨자 개인정보 수집 및 이용 동의 안내서.hwp'라는 이름의 악성 문서 파일이 첨부됐다. 문서 파일엔 암호가 설정돼 있다. 메일 본문에 적힌 암호를 입력하면 안내서 화면을 띄워 정상 문서로 착각하도록 했다.

악성 문서가 실행된 후 보여지는 화면(출처=이스트시큐리티)

사이버 안전국을 사칭한 메일에 첨부된 압축 파일명은 '사이버안전국.egg'이다. 압축 해제 후 실행을 유도한다. 압축 파일 내부에는 '사이버안전국.exe'이라는 이름의 악성 파일이 포함돼 있다.

관련기사

악성 파일은 감염자 정보 등을 수집해 저장하고, 공격자가 지정한 특정 한메일 계정으로 정보를 은밀히 전송한다.

감염 시 생성되는 폴더 화면 (출처=이스트시큐리티)

이스트시큐리티 보안 솔루션 '알약'은 해당 악성 파일들에 대해 탐지와 치료를 하고 있다. 추후 자사 인공지능 기반 위협 대응 솔루션 '쓰렛 인사이드' 서비스를 통해 위협 인텔리전스 리포트와 별도의 침해 지표 등을 제공할 예정이다.