'Kimsuky'로 명명된 이번 사이버 스파이 활동은 세종연구소, 한국국방연구원(KIDA), 통일부, 현대상선, 통일생각 등 중국 및 대한민국의 주요 기관을 대상으로 한 제한적이며 고도로 표적화된 공격이다.
이번 사이버 스파이 활동의 초기 징후는 지난 4월 3일이었으며 Kimsuky 트로이목마 샘플은 2013년 5월 5일 최초로 발견됐다. 해당 샘플은 비교적 단순한 스파이 프로그램으로 몇 가지 기본 코딩 오류가 있었으며 해킹된 컴퓨터와의 통신은 불가리아의 웹 기반 무료 이메일 서버(mail.bg)를 사용했다.
카스퍼스키랩은 Kimsuky 악성 코드가 스피어-피싱 이메일로 전달된 것으로 추정하고 있으며 △키보드입력 기록, 디렉터리 목록 수집 △원격 제어 △HWP 문서 유출 등의 기능을 수행한다고 설명했다.
특히 Kimsuky 악성 코드에는 HWP 파일만을 유출하는 전문 악성 코드가 포함되어 있어 이번 해킹의 주요 목적이 HWP 문서 파일의 유출임을 보여주고 있있다.
카스퍼스키랩은 발견한 여러 단서들에서 이번 스파이 활동을 한 공격자들이 북한이라고 추정했다. 그 이유로 첫째 해킹의 대상이 된 주요 기관이 국내외 정세를 연구하는 민간 기관, 국방정책 전반을 연구하는 정부출연 기관, 국적 해운 회사, 통일 관련 그룹 등이라는 점, 둘째 악성 코드에 한국어로 된 문자열(“공격”과 “완성” 등)이 있었다는 점, 셋째 악성 코드의 동작 상태와 감염된 시스템에 대한 정보를 첨부 파일로 전달할 때 사용된 두 개의 이메일 주소(iop110112@hotmail.com, rsh1213@hotmail.com)가 'kim'으로 시작되는 이름(kimsukyang과 Kim asdfa)으로 등록되었다는 점 등이다.
카스퍼스키랩측은 "비록 이 이메일 등록 정보가 공격자를 구체적으로 단정지어 주지는 않지만, 공격자의 IP-주소는 이를 간접적으로 알려줬다"며 "공격에 10개의 IP 주소가 사용됐며 모두 중국의 Jilin Province Network와 Liaoning Province Network의 것이다. 이 지역에서의 일부 인터넷 회선은 북한에 연결된 것으로 추정된다"고 밝혔다.
이번 Kimsuky 악성 코드의 또 다른 지역적 특징은 '안랩'의 보안 제품만을 대상으로 그 일부 기능을 무력화한다는 것이다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지