박현준 경찰청 국가수사본부 안보수사국 첨단안보수사계장이 7일 서울 서대문구 경찰청에서 북한 해킹메일 유포사건 관련 수사 상황을 브리핑하고 있다. /뉴스1
북한 정찰총국 산하 해커조직 ‘김수키(Kimsuky)’가 심리적 교란 전술을 통해 사이버 공격을 시도한 것으로 나타났다.
사이버 보안 기업 지니언스가 1일 올린 ‘클릭픽스’ 전술을 활용한 김수키 그룹 위협 사례 분석’이라는 제목의 블로그 게시글에 따르면 이 회사의 시큐리티 센터는 지난 3월 국내에서 김수키의 ‘클릭픽스’(ClickFix) 공격 전술 활동을 포착했다.
지니언스에 따르면 클릭픽스는 사용자가 공격 체인에 개입하도록 유인하고 현혹하는 공격 방식이다. 특정 오류에 대한 문제 해결 방법 또는 보안 문서 인증 절차 안내처럼 위장해 위협 요소를 의심하거나 인지하지 못하게 한 뒤, 허위 메시지로 단계별 악성 명령을 실행하게 하는 심리적 교란 전술에 해당한다.
클릭픽스는 지난해 4월 미국의 보안 기업 프루프포인트 연구원들이 처음 소개한 공격 수법이다.
지난 3월 포착된 김수키의 사이버 공격 시도에서는 공격자가 미국 안보 분야 고위급 인물의 보좌관을 사칭했다. 공격자는 곧 한국에 방문할 계획이라며, 문서 수신자에게 회의 참석이 가능한지 질문하며 접근했다. 수신자가 참석이 가능하다고 답하면, 공격자는 전문가 회의에 필요한 질문 목록을 미리 확인할 수 있다며 첨부파일을 전달했다.
그리고 별도 보안문서에 접근하기 위한 인증코드와 설명서를 열람하도록 안내했다. 첨부파일에는 사용 설명서와 함께 ‘Code.txt’ 파일이 포함됐다.
이는 기존 클릭픽스 전술이 특정 오류를 수정하도록 클릭을 유도하는 방식인 반면, 이번 사례는 보안 문서 열람을 위해 필요한 인증코드 복사 및 붙여넣기 입력 방식으로 응용됐다고 지니언스는 설명했다.
지니언스는 클릭픽스 공격을 막기 위해 보안 교육을 강화하고, EDR(엔드포인트 위협 탐지·대응) 시스템을 통해 이상 행위를 탐지해야 한다고 당부했다.
지니언스 제공
