북한 해커조직 '김수키' 소개 (+활동이력, 실제 이메일내용)

출처: 조선비즈

<김수키>

북한 정권이 국제적인 정보 수집 임무를 부여한 지능형 지속 공격(APT) 해커 조직 (=해킹 그룹)

---

출처:KBS

<표적>

한미일 정부, 여러분야 전문가

---

매년 터지는 국내 해킹 사건들 / 출처: 전자신문

<활동범위>

한반도, 핵, 제제, 외교, 안보

---

<활동이력>

• 2012년

해킹그룹 조직

 

북한 해킹그룹 김수키 한국수력원자력 해킹 사건 / 출처: 한국일보

• 2014년

한국수력원자력 원전 도면 유출 및 가동중지 협박

 

• 2020년

코로나 19에 대한 국내에서 개발 중인 백신에 대한 정보를 취득하기 위한 해킹 공격

 

북한 해킹그룹 김수키 서울대병원 환자정보 7천건 유출 사건 / 출처: 데일리메디

• 2021년

한국원자력연구원, 한국항공우주산업, 대우조선해양, 서울대학병원 해킹

 

• 2022년

태영호 국회의원실을 사칭하면서 국내 외교안보전문가 및 기관 해킹

 

북한 해킹그룹 김수키 기자사칭 이메일 유포 사건 / 출처: 경향신문

• 기자 사칭

한국 기자를 사칭, 국방, 안보, 통일, 외교 관련 전문가들에게 한반도 문제 관련 스카이프 인터뷰나 방송 출연 요청 메일 발송 > 이에 응할시 날짜 의논 등 신뢰 관계 형성 > 인터뷰 자료에 멀웨어, 악성코드 첨부 문서나 구글 드라이브 링크를 이메일로 보내 열도록 유도 > 인터뷰 날짜 다가오면 취소메일 발송

 

통일부 직원을 사칭한 실제 이메일 내용 및 첨부파일 / 출처: ESRC블로그

• 언론사 사이트 사칭

언론사의 사이트를 그대로 배껴 아무런 문제없는 사이트로 가장해 이들을 유인해 정보를 파밍

 

사이버 공격 중 90% 이상이 북한 해커 소행 / 출처: MBN

• 주요 사용 도메인

naver.com.**

naver.co

daum.net.pl

nytimes.onekma.com

---

북한 해커 전창혁, 박진혁, 김일 / FBI 공개수배

<국가적 제재>

2018년 9월

미국, 해커 박진혁 기소, 소속 회사 조선 엑스포 제재 명단에 올림

 

2023년 6월 2일

한국, 김수키 & 가상자산 지갑 주소 대북제재 명단에 올림

---

<전문가 조언>

(출처:데일리시큐 / ESRC 센터장 문종현 이사)

김수키 조직은 수년 간 한국을 상대로 APT공격을 수행할 때 주로 HWP 문서 취약점을 널리 사용했는데, 최근에는 DOC 악성 문서 파일도 공격에 적극적으로 활용하고 있다.

만약 이메일이나 SNS 메신저 등으로 전달받은 DOC 문서를 오픈할 때, 보안 경고 창이 나오면서 콘텐츠 사용을 유도할 경우 무심코 콘텐츠 사용 버튼을 눌러서는 절대 안된다.

대북 분야에서 활동하는 여러 인사가 김수키 조직의 주요 APT 위협 대상이며, 특히 코로나19 바이러스 정국을 공격 키워드로 현혹하는 점도 명심해야 한다.

최근 외교-안보 및 대북 분야 종사자를 겨냥한 공격 정황이 꾸준히 포착되고 있는 만큼, 유사한 위협에 노출되지 않도록 관계자들의 각별한 보안 수칙 준수 노력이 요구된다.

출처: 조선일보