미국의 사이버 보안 회사가 북한의 해킹 그룹 김수키(Kimsuky)가 사용하는 새로운 전술을 발견했다고 밝혔다.

미국의 사이버 보안 회사 ‘래피드7’(Rapid7)은 20일(현지시간) 자사 홈페이지를 통해 북한의 해킹 조직 김수키(Kimsuky)가 보안 조치를 우회하기 위해 사용하는 새로운 전술을 포착했다고 밝혔다고 RFA(자유아시아방송)가 21일 전했다.  

북한 관련 전문가들에게 ‘북한’ 또는 ‘핵’과 관련한 주제의 파일에 악성코드를 숨겨 보내는 것은 북한 해커들이 사용하는 수법으로 알려져 있다.

연구팀은 여러 개의 HTML 문서 즉, 인터넷상에서 읽을 수 있는 문서가 포함된 윈도우 도움말(CHM) 파일을 발견했는데, 이들은 북한의 핵 전략과 관련돼 있었다.

연구원들은 ISO, VHD, ZIP, RAR 파일과 같은 형식을 통해 윈도우 도움말(CHM) 파일이 전달되면 초기 방어 체계를 우회해 파일을 실행할 수 있어, 이를 활용한 것으로 분석했다.

또 김수키의 소행이라고 추정되는CHM 파일 안에 심어진 코드를 통해 "악의적인 목적으로 윈도우(Windows) 체계에서 HTML과 다운로드 받은 자료들을 이용하는 데 사용되는 기술인 ‘액티브 엑스’(ActiveX)를 활용해 임의적인 명령을 실행할 수 있다”는 사실을 알아냈다.

이어 “기존의 문서와 ISO 즉, 사진영상 파일, 그리고 바로 가기 파일(LNK)의 악용에 이어, HTML 도움말 파일(CHM)을 악용하는 방식으로 진화했다”고 설명했다.

연구에 참여한 크리스티안 비크(Christiaan Beek) 연구원은 “김수키 조직으로부터의 피해를 줄이기 위해서는 개인마다 이메일로 주고 받는 첨부파일에 주의를 기울여야 한다”고 강조했다.

그러면서 “핵 관련 문서나 금융 데이터 같은 것이 들어 있는 것처럼 보일 수 있지만 정말 이상한 파일이 첨부되어 있을 수 있다”고 덧붙였다.@