북한이 러시아-우크라이나 전쟁에 참전 중인 가운데 북한 해킹조직이 러시아의 침공 경로 정보를 수집하기 위해 우크라이나에 악성코드를 유포한 것으로 확인됐다.
글로벌 사이버 보안 기업 프루프포인트와 외신 등에 따르면, 해킹그룹 'TA406'이 지난 2월 우크라이나 정부 기관을 타깃으로 피싱 메일을 대량으로 유포했다. TA406은 북한 해킹그룹 '김수키'(kimsuky) 산하 조직으로 알려져 있다.
TA406는 존재하지 않는 '왕립전략연구원'(Royal Institute of Strategic Studies)이라는 싱크탱크 수석 연구원을 사칭해 피싱 메일을 보냈다. 메일에는 '볼로디미르 젤렌스키 우크라이나 대통령이 발레리 잘루즈니 전 우크라이나군 총사령관을 해임한 이유'(Why Zelenskyy fired Zaluzhnyi.lnk.)를 포함한 첨부파일이 담겼다. TA406는 타깃이 링크를 클릭하지 않은 날에도 계속해서 여러 건의 피싱 이메일을 보내며 이전 이메일을 받았는지, 파일을 다운로드할지 묻는 등 지속적으로 공격을 벌였다.
또 TA406이 악성코드를 유포하기 전에 우크라이나 정부 기관에 가짜 마이크로소프트 보안 경고 메시지를 보내 자격증명(credentials) 탈취를 시도하는 정황도 발견됐다. 프루프포인트는 이번에 사용된 페이지가 이전에 네이버 로그인 정보를 수집하는 데 악용됐던 것으로 추정했다.
프루프포인트는 “북한 지도부가 작전 지역에 주둔 중인 북한군에 대한 위험과 러시아가 추가 병력이나 무기를 요청할 가능성을 파악하는 데 도움이 되는 정보를 수집하고 있을 가능성이 매우 높다”고 분석했다.
그러면서 “러시아 해킹그룹은 전술적 전장 정보를 수집하고 우크라이나군을 현장에서 공격하는 임무를 수행하는 반면 TA406은 정치적인 정보 수집 활동에 집중했다”고 덧붙였다.
국내 사이버 보안 기업도 북한 해킹그룹의 활동 보고서를 내놓고 있다.
지니언스 시큐리티 센터(GSC)는 북한 해킹그룹 'APT37'(ScarCruft)이 지난 3월 국가안보전략 싱크탱크 행사, 러시아 파병 북한군에게 보내는 편지 등을 사칭해 국내 대북 분야 활동가들에게 악성 이메일을 보냈다. 이메일에 첨부된 압축파일을 열면 악성코드가 작동한다.
GSC는 “이메일에 첨부된 압축파일 다운로드 후, 압축 내부에 존재하는 파일이 바로가기(LNK) 타입이라면, 접근하면 절대 안 된다”며 “보안 관리자는 각 단말에서 발생하는 행위 이벤트를 관찰하고, 적절한 위협을 헌팅해 대응할 수 있는 체계를 마련해야 한다”고 강조했다.
조재학 기자 2jh@etnews.com
![[엔피코어 보안칼럼] 美 정부 ”공격받고 있다는 사실조차 몰랐다“...중국 해킹그룹 ‘볼트 타이푼‘의 은밀한 APT 공격](https://www.dailysecu.com/news/photo/202505/166011_194544_5857.jpg)
![대기 뚫고 내리꽂는 핵미사일… “中, 10년 뒤 수십발 보유할 것”[글로벌 왓]](https://newsimg.sedaily.com/2025/05/14/2GSSLR0HIC_1.jpeg)