[디지털데일리 김보민기자] 지난해 12월 비상계엄 직후 국군방첩사령부 문건으로 위장 유포된 문서형 악성코드 공격이 북한 배후 위협그룹의 소행일 가능성이 제기됐다.

지니언스시큐리티센터(GSC)는 '비상계엄 테마 APT 공격과 김수키 그룹 연관성 분석' 보고서를 통해 "(해킹 공격에 활용된 악성) 파일은 마치 정상 파일처럼 속이기 위해 속성에 마이크로소프트(MS) 윈도 제품 정보로 위장하고 있었다"며 "해당 리소스 언어 ID(Language Identifiers)값으로 한국어가 혼용된 흔적이 관찰됐고, 악성파일 제작자 프로그래밍 개발 환경이 한국어 기반인 점을 추정해 볼 수 있었다"고 밝혔다.

이번 조사는 지난해 12월11일 오후 1시45분경 'FW: 방첩사 작성한 "계엄 문건" 공개'라는 제목의 스피어피싱 공격 메일이 대북 분야 종사자를 대상으로 무작위 유포된 데 따라 진행됐다. 당시 한국인터넷진흥원(KISA)은 보안 권고를 통해 비상계엄을 악용한 사이버 공격 시도와, 악성코드 실행을 유도하는 위협을 주의해야 한다고 안내한 바 있다.

GSC는 "실제 공격은 마치 12월8일 수신된 내용을 지정한 다른 이메일 주소로 전달(포워드·FW)한 것처럼 보이지만, 분석 결과 포워딩 메일처럼 의도해 교묘히 조작했던 것이 드러났다"며 "지명도 있는 가짜 원본 발신자 명의로 현혹한 일종의 위장 심리전술"이라고 설명했다.

스피어피싱 공격에는 '참새(chamsse)'라고 발음하는 아이디가 일부 사용됐는데, GSC는 "실제 존재하는 기자 아이디(ID) 'chamse' 단어에 's'를 추가한 것"이라고 부연했다. 이메일 본문에 '비번'이라는 단어가 쓰인 점도 주목했다. GSC는 "한글 문화권에서 비밀번호를 줄여 쓰는 흔한 말이지만, 한글을 모르거나 서투른 순수 외국계 위협 행위자가 영한 번역 서비스를 통해 문구를 쓸 경우 '비번'보다 '비밀번호' 단어가 쓰일 것"이라고 말했다. 공격자의 모국어를 예측해볼 수 있다는 의미다.

GSC는 최근 발생한 위협 사례를 분석한 결과, 이번 공격에 쓰인 인터넷프로토콜(IP)과 동일한 사례는 없었으나 2021년에서 2022년 사이 흡사한 IP 주소가 활용된 피싱 공격 이력이 있었다고 밝혔다. 해당 공격들은 북한 배후 해킹그룹 '김수키'로 분류돼 있다.

다만 IP가 비슷하다는 근거 만으로 김수키의 소행이라고 결론 내기는 어렵다고 강조했다. GSC는 "해당 유사성만으로 이번 공격과의 연관성을 단정할 수는 없다"고 말했다.