[디지털데일리 김보민기자] 지난해 북한 배후 해킹조직 김수키가 공격 기법을 고도화했다는 평가가 나왔다. 자체 원격 데스크톱 도구를 만들어 보안 탐지를 우회하고 사용자 시스템을 제어하는 움직임이 두드러진 것으로 나타났다.

9일 안랩 시큐리티인텔리전스센터(ASEC)에 따르면, 김수키 그룹은 지난해 공격 방법을 바꾸는 모습을 보였다. 초기 침해 단계에서 스피어피싱 공격을 가할 때 바로가기(LNK) 멀웨어를 사용한 것은 동일했지만, 백도어를 설치하는 대신 원격데스크톱프로토콜(RDP) 도구와 프록시 도구를 생성해 감염된 시스템을 원격으로 제어하기 시작했다.

스피어피싱은 특정 개인, 조직, 회사를 대상으로 가해지는 맞춤형 피싱 공격을 뜻한다. 위협 대상자가 의심 없이 파일을 내려받거나 링크를 누르도록 유도하는 것이 특징이다.

ASEC은 "악성 명령이 포함된 LNK는 PDF, 엑셀, 워드 등 오피스 문서 아이콘이 있는 파일로 위장한다"며 "이 파일이 실행되면 파워셸 등이 실행돼 외부 소스에서 추가 페이로드를 다운로드하고 실행한다"고 설명했다. 이어 "감염된 시스템을 제어하기 위해 실행되는 멀웨어는 페블대시(PebbleDash)와 RDP 래퍼(Wrapper)"라고 부연했다.

RDP 래퍼는 원격 데스크톱 기능을 지원하는 오픈소스 도구다. 원도 운영체제는 원격 데스크톱을 지원하지 않지만, RDP 래퍼를 환경에 설치하면 원격 데스크톱을 활성화할 수 있게 된다. ASEC은 "(김수키는) 스스로 만든 RDP 래퍼를 사용하고 있다"며 "내보내기 기능을 만들어 파일 감지를 우회하고 있는 것으로 의심된다"고 강조했다.

다만 RDP 서비스를 활성화하고 사용자 계정을 추가하더라도, 감염된 시스템이 개인 네트워크에 있는 경우 외부에서 접근할 수 없다. 김수키는 이 문제를 해결하기 위해 감염된 시스템과 외부 네트워크 사이 중개자 역할을 하는 프록시 멀웨어를 설치해 RDP를 통해 시스템에 접근할 수 있도록 했다.

아울러 파워셸 스크립트를 사용해 키로깅을 수행하고, 실행 파일 형식으로 키로거를 설치하는 움직임도 보였다. 키로깅은 사용자가 키보드로 입력하는 메시지를 몰래 가로채는 기법을 뜻한다. ASEC에 따르면 김수키는 최근 키로깅을 통해 가로챈 정보를 저장하기 위한 경로를 바꿔간 것으로 파악됐다.

이 밖에도 웹 브라우저에 저장된 자격 증명을 직접 훔치는 대신, '로컬 상태' 파일에서 키값만 추출하는 도구를 사용하기도 했다. ASEC은 "보안 제품을 우회하기 위한 것으로 추정되며, 추출된 키는 웹 브라우저에 저장된 자격 증명을 훔치는 과정에서 사용된다"고 말했다.

한편 김수키를 비롯한 북한 배후 해킹조직의 공격은 올해도 거세질 전망이다. ASEC은 "김수키 위협 그룹은 한국 사용자를 대상으로 스피어피싱 공격을 감행하고 있다"며 "사용자는 이메일 발신자를 확인하고 알 수 없는 출처 파일을 열지 말아야 한다"고 당부했다.