지니언스 “방첩사 계엄문건 사칭 해킹공격 北 김수키 연관가능성”
||2025.03.05
사이버 보안 기업 지니언스가 지난해 12월 비상계엄 직후 ‘국군방첩사령부 계엄 문건’으로 위장 유포된 문서형 악성코드에서 북한 정찰총국 산하 해커조직 ‘김수키’와 연결성이 일부 파악됐다고 5일 밝혔다.
지니언스 블로그에 게시된 ‘비상계엄 테마 APT 공격과 김수키 그룹 연관성 분석’ 보고서에 따르면 “해킹공격에 사용된 악성 파일의 리소스 언어로 한국어가 혼용된 흔적이 관찰됐다”며 악성 파일 제작자의 프로그래밍 개발 환경이 한국어 기반인 점을 추정해 볼 수 있다고 밝혔다.
보고서는 ‘계엄사-합수본부 운영 참고자료’ 파일과 김수키가 과거 사용했던 파일을 비교해 레지스트리 표시 방식, 악성코드에 감염된 PC나 서버를 대상으로 공격자가 원하는 행위를 수행하도록 명령하는 C2 도메인, 이메일 발송지에서 유사도를 나타냈다고 설명했다.
보고서는 다만 피싱 공격에 쓰인 이메일 발신지 아이피(IP) 정보와 흡사한 주소들이 김수키 피싱 관련으로 분류된 적이 있지만, 이번 공격과 연관성을 단정할 수는 없다고 덧붙였다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 지난해 12월 12일 비상계엄 사태와 관련된 정보를 사칭한 해킹 메일이 대량 유포되고 있다며 개인과 기업의 주의를 당부한 바 있다. 특히 국군방첩사령부가 쓴 계엄 문건이라고 위장한 문서형 악성코드 유포가 발견됐다며 비상계엄 관련이라는 첨부파일이 포함된 이메일을 열거나 파일을 내려받지 말 것을 권고했다.
