개요

최근 사이버 보안 업계에서는 북한과 연계된 해킹 그룹 김수키(Kimsuky, APT43, Emerald Sleet, VELVET CHOOLLIMA)가 새로운 방식의 스피어 피싱 공격을 수행하고 있다는 경고가 제기되고 있다.

김수키는 주로 남한의 정부 기관, 연구소, 방위 산업체, 학계 관계자 등을 대상으로 공격을 수행하며, 신뢰할 만한 발신자를 사칭하는 이메일을 통해 악성코드를 유포하는 것이 특징이다.

이번 보고서에서는 김수키가 활용하는 최신 스피어 피싱 기법, 공격의 특징, 그리고 침해 대응 및 분석 방법을 자세히 설명하고, 이를 바탕으로 일반 사용자 및 보안 담당자들이 취할 수 있는 대응 방안을 제시하고자 한다.

주요 침투 방법 분석

스피어 피싱을 통한 최초 침투

김수키의 대표적인 공격 방식은 신뢰할 수 있는 기관을 사칭하여 대상과 장기간 이메일을 주고받으며 신뢰를 구축한 뒤 악성 첨부파일을 보내는 방법이다.

이들이 사용하는 최신 공격 방식은 다음과 같다.

1) 암호화된 PDF 파일을 이용한 공격

김수키는 남한 정부 기관을 사칭한 이메일을 보내며, 암호화된 PDF 파일이 첨부된 스피어 피싱 메일을 유포한다.

• 이메일에는 "첨부된 PDF 파일을 열람하기 위해서는 디바이스를 등록해야 한다"는 내용이 포함된다.
• 사용자는 해당 PDF를 열어보려면 공격자가 제공한 PowerShell 코드를 실행해야 한다고 안내받는다.
• 사용자가 이 코드를 Windows 실행 창(Win + R) 또는 PowerShell에서 실행하면, 공격자의 서버에서 원격 데스크톱 제어 도구 및 인증 관련 도구가 다운로드 및 설치된다.
• 설치된 도구는 공격자의 서버에 피해자의 PC 정보를 전송하고, 이를 통해 공격자는 피해자의 PC를 원격으로 조작하거나 데이터를 유출할 수 있다.

이 방식은 보안 담당자가 첨부파일을 단순 검사했을 때 악성 코드가 탐지되지 않도록 하기 위한 수법으로 보이며, 사회공학적 기법을 활용해 피해자를 속이는 것이 핵심 전략이다.

<그림1 : PowerShell 실행 프로세스, 출처: MS Intelligence X>

2) 바로가기(LNK) 파일을 이용한 공격

김수키는 바로가기 파일(.lnk)을 이용해 악성 코드를 실행하는 공격 기법도 함께 사용하고 있다.

• 공격자는 PDF 파일처럼 보이는 바로가기 파일(예: 자기소개서.pdf.pdf.lnk)을 첨부하여 피해자가 실행하도록 유도한다.
• 사용자가 해당 파일을 클릭하면, 내부에 숨겨진 PowerShell 코드 또는 Mshta(JavaScript 실행 도구)가 실행되어 멀웨어가 다운로드된다.
• 멀웨어는 피해자의 시스템에 원격 제어 도구를 설치하고, 이를 통해 추가적인 공격을 수행할 수 있다.

바로가기 파일을 활용한 공격은 일반적인 문서 파일처럼 보이기 때문에 사용자들이 쉽게 속을 가능성이 높으며, 최근 분석 결과에서도 해당 방법이 빈번히 활용되고 있는 것으로 확인되었다.

3) Dropbox를 이용한 멀웨어 배포

김수키는 기존의 악성코드 배포 방식과 달리, Dropbox와 같은 클라우드 스토리지를 이용하여 멀웨어를 배포하고 있다.

• 일반적으로 공격자는 악성코드를 다운로드하기 위한 URL을 이메일에 포함하지만,

  → 보안 솔루션에서 해당 도메인을 차단하면 추가 공격이 어렵다는 한계가 있다.

• 하지만 Dropbox 링크를 활용할 경우, 도메인/IP 기반 차단을 우회할 수 있으며, 공격 수행 후 빠르게 링크를 삭제하고 새로운 링크를 생성할 수 있다.

• 이는 공격을 추적하고 분석하는 것을 어렵게 만들며, 일반 사용자가 보안이 취약한 클라우드 링크를 신뢰하고 실행할 가능성이 높아지는 문제가 발생한다.

  
  

  
  

<그림2 : 공격 프로세스, 출처: The hacker news>

김수키 공격의 주요 특징 분석

김수키는 지속적으로 정부 기관, 방위산업체, 학계 및 연구소 관계자 등을 대상으로 스피어 피싱 공격을 수행해왔다.

대표적인 사례는 다음과 같다.

• 2023년 9월 6일 → 러시아-북한 파트너십 논문을 위장한 APT 공격
• 2023년 9월 19일 → 강연 의뢰서로 위장한 악성 코드 유포
• 2023년 9월 30일 → 독일 방산업체 해킹 시도

공격 수법을 살펴보면, 공통적으로 이메일을 통한 첨부파일 유포 방식이 활용되고 있으며, 공격 대상과 일정 기간 신뢰를 쌓은 후 첨부파일을 열도록 유도하는 방식이 특징이다.

특히, 이번에 발견된 PDF 파일을 이용한 PowerShell 실행 유도 방식과, 바로가기(LNK) 파일을 이용한 악성 코드 실행 기법은 김수키의 공격이 보다 정교해지고 있음을 시사한다.

분석가 입장에서 바라본 분석 방법

레지스트리와 PowerShell

침해사고 분석가들은 해당 사고가 발생하였을 경우, 다양한 방법으로 분석을 진행할 수 있다. 우선 PowerShell 실행코드를 PowerShell 창 혹은 명령 프롬프트 창에 복사 및 붙여넣기하여 실행한 경우부터 살펴보겠다.

명령어를 실행하기 위해 텍스트를 복사한 경우, 해당 명령어들은 클립보드에 저장이 되게 된다.

Windows 10에서는 윈도우 설정에서 클립보드 검색 기록을 활성화할 수 있어 활성화되어 있는 경우 클립보드에 어떤 내용이 저장되어있는지 확인할 수 있다. 하지만 클립보드는 전원을 종료하면 데이터가 삭제되며, 최대 25개까지 저장이 가능하기 때문에 신속한 확인이 필요하다(고정된 항목 제외) .

<그림3 - 클립보드 활성화 여부>

<그림4 - 클립보드 상태>

다음, 윈도우 실행창에 명령어를 붙여넣기하여 실행한 경우, 실행창(Win + R)에서 어떤 명령이 실행되었는지 확인할 수 있다.

레지스트리에 존재하는 RunMRU항목에는 실행창에서 실행된 명령어의 리스트를 담고 있어, 해당 항목을 분석하면 어떤 명령어나 프로그램이 실행되었는지 확인이 가능하다.

레지스트리 키 경로 : HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

<그림5 - 레지스트리 경로>

레지스트리 외에 PowerShell 명령은 PSReadline 모듈에 의해 텍스트 파일로 기록되어 해당 로그를 확인할 수 있다.

경로 : %UserProfile%AppDataRoamingMicrosoftWindowsPowerShellPSReadlineConsoleHost_history.txt

<그림6 - PowerShell PSReadline 파일>

<그림7 - PSReadline 히스토리>

바로가기 파일에 PowerShell 명령 삽입

다음은 바로가기 파일을 이용하여 공격한 경우이다.

바로가기 파일을 이용하여 공격한 경우, 공격자는 바로가기 파일을 클릭할 때 명령이 실행되도록 설계하였다.

아래는 자기소개서.hwp로 위장한 바로가기를 통하여 특정 텍스트 파일을 만드는 명령을 실행하도록 한 예시이다.

<그림8 - 한글 피싱 파일>

바로가기 대상에 공격자가 의도한 명령어가 삽입되어 있으며, 코드는 다음과 같다.

<그림9 - 한글 피싱  속성>

C:WindowsSystem32WindowsPowerShell1.0powershell.exe -NoExit -Command "New-Item -Path 'C:UsersUSER' -Name 'sample.txt' -ItemType 'file' -Value '텍스트'”

해당 바로가기 파일을 실행하면 아래와 같이 실행된다.

<그림10 - 한글 피싱 파일 실행 화면>

해당 파일은 얼핏 보기에 자기소개서.hwp 혹은 자기소개서.hwp의 바로가기처럼 보이지만, 실제 클릭하면 sample.txt파일이 생성된다.

이제 해당 공격 기법을 통해 공격 당했을 때, 분석할 수 있는 방법을 알아보겠다. 우선 위의 파워셸을 활용한 공격을 분석한 것처럼, 파워쉘 히스토리를 살펴보겠다. 해당 공격기법을 통해 코드를 실행했을 때에는 파워쉘 히스토리에 실행한 코드가 남지 않았다.

<그림11 - 한글 피싱 파일 실행 후 PSReadline 히스토리>

또한, 윈도우 실행창을 통해 실행하지 않았기 때문에, 레지스트리의 RunMRU에도 남지 않았다.

<그림12 - 한글 피싱 파일 실행 후 실행 관련 레지스트리>

이런 경우, 해당 바로가기 파일을 직접 분석하는 방법과 PowerShell 명령어가 실행된 시간을 파악하여 추가로 분석한 악성파일의 생성시간과 연계하여 분석할 수 있다.

위의 파일을 생성한 시간은 2025년 2월 19일 수요일 오후 3시 25분 19초이다(KST기준, UTC + 9:00).

<그림13 - 추가 악성파일 속성정보>

해당 시간 파워셸의 이벤트 로그를 확인해보면, 정확히 해당 시간에 파워쉘이 동작했다가 멈춘 것을 확인할 수 있다.

<그림 14 - PowerShell 이벤트 로그1, 2>

이를 통해 파워쉘 명령어를 통해 파일이 생성되었음을 유추할 수 있다.

바로가기 파일을 분석하는 경우, 해당 파일을 직접 분석하는 방법과 도구를 이용한 방법이 있다.

해당 파일을 직접 분석하는 경우, 해당 파일 우클릭 → 속성을 통해 어떤 명령을 실행하는지 확인할 수 있다.

다만, 해당 방법으로 분석하는 경우 명령어를 한눈에 파악하기 힘들기 때문에, 명령어를 메모장에 명령어를 복사 붙여넣기하여 분석하는 것을 추천한다.

도구를 이용하는 경우, LNK Parser와 LECmd를 활용할 수 있다. 우선 LNK Parser를 활용한 예시이다.

<그림 15 - LNK Parser 실행 화면>

파일의 이름, 실제 실행되는 파일의 이름, 경로, 바로가기 파일의 크기, MAC시간등이 나타나있다. 하지만 정확히 어떤 명령어를 담고 있는지에 대해서는 확인이 불가능하다.

다음은 LECmd를 활용한 예시이다.

<그림 16 - LNK Parser 실행화면>

LNK Parser와 똑같이 해당 바로가기 파일의 MAC시간을 확인할 수 있었으며, 추가적인 정보를 확인할 수 있다. 실행할 파일(파워셸)의 상대 경로, 실행할 명령어, 아이콘의 위치를 추가적으로 확인할 수 있다.

일반 사용자 대응 방법

이메일 열람 시 보안 수칙

✅ 발신자의 이메일 주소가 정상적인 도메인인지 철저히 확인

✅ 의심스러운 이메일 내 링크를 클릭하거나 첨부 파일을 열기 전 IT 보안팀에 확인

✅ 파일 확장자를 항상 표시하여 숨겨진 확장자를 확인 (예: .pdf.pdf.lnk)

✅ 매크로가 포함된 문서 파일 실행 금지

악성 파일 및 실행 코드 감지 방법

✅ 파일 확장자가 .exe, .bat, .msc, .vbs, .js, .scr, .zip, .lnk인 경우 실행 금지

✅ PowerShell 코드 실행을 유도하는 경우 보안팀에 문의 후 진행

✅ 바로가기(LNK) 파일을 클릭하기 전, 파일 속성에서 실행 명령을 확인

침해 발생 시 즉각적인 대응 방법

✅ 즉시 네트워크 연결 해제

✅ IT 보안팀 또는 상급자에게 즉시 신고

✅ 회사 이메일, 금융 계정, 내부 시스템 비밀번호 변경

✅ 백신 프로그램을 통해 전체 시스템 검사 수행

결론

김수키(APT43)는 사회공학적 기법을 활용한 스피어 피싱 공격을 지속적으로 수행하고 있으며, 최근에는 PowerShell 코드 실행 및 바로가기(LNK) 파일을 이용한 공격 기법을 적극적으로 활용하고 있다.

이에 따라 일반 사용자들은 이메일 및 첨부파일 보안 인식을 높이고, 보안팀의 검토 없이 의심스러운 파일을 실행하지 않도록 주의해야 하며,

보안 분석가들은 PowerShell 히스토리, RunMRU 레지스트리, LNK 파일 분석 등의 기법을 활용하여 침해 분석을 수행해야 한다.

작성자 : 블루데이타시스템즈 서용철 프로