한 보도에 따르면 김수키(Kimsuky)는 지난해 4월부터 8월까지 무려 4개월에 걸쳐 소셜 엔지니어링(Social Engineering) 기법을 활용하여 악성행위를 가했다고 합니다.
대상은 교수 및 공무원 등을 포함한 북한 관련 전문가들로, 총 150명으로 북한 핵에 대한 의견을 구한다는 내용의 이메일을 보내 피해를 입힌 것으로 밝혀졌고, 지난 12월에는 국민의힘 태영호의원을 사칭하여 피싱 메일을 보내고 고객들을 유인해 정보를 탈취, 모니터링하여 충격을 준 바 있습니다.
논란의 중심, 김수키는 대체 어떤 조직일까요?
김숙희?김수키(Kimsuky)?🤔
김수키는북한 정부가 한국,미국 등에 대한 사이버 공격을 목적으로 2012년에 만들어진 해킹조직으로,과거 비트코인 등 가상화폐를 털어 5,300억을 턴 라자루스와 함께 정찰총국에서 집중 육성한 해커조직입니다.
그들의 공격 수법은 스스로를 위장하여 국방과 안보,통일,외교 관련 전문가들에게 악성파일을 보내 악성코드를 뿌린 뒤 정보를 탈취하는 것입니다.이는 제대로 확인하지 않으면 속을 정도의 미세한 차이만 가진 도메인및 사이트를 만들어 유인합니다.
그런데 이러한 일련의 위협은작년 혹은 몇 달 전에 일어났는데왜 화두라고 할까요?
대한민국정책브리핑에 따르면한국정부는 2일 ‘김수키’를세계최초로 대북 독자제재 명단에 올렸다고 말했습니다.외교부에 따르면‘김수키’는 전 세계를 대상으로 우주 관련 첨단 기술을 빼돌려 북한의 위성 개발에 직간접적인 관여를 해왔기에 제재대상으로 지정했다고 말했습니다.
이에 대한 추가적인 제재를 위해한국 국가정보원·경찰청·외교부에선국가안보국(NSA)와 함께 ‘김수키’ 활동에 대한 경각심을 높이고 피해가 발생하지 않도록 의심 활동에 대한 주의와 사이버 보안 조치를 강화할 것을 담은 합동 보안 권고문을 발표했습니다.
센티넬원은 어떻게 바라보고 있나👀
사실 최근에도 김수키가 새로운 맬웨어를 통해 위협행위를 행한 바 있습니다. 코리아리스크그룹(Korea Risk Group, KRG) 기업이 그 대상이었고, 레콘샤크(ReconShark)라 불리는 새로운 맬웨어를 김수키는 MS원드라이브 링크를 포함한 스피어피싱 메일 형태로 유포한 것입니다.
이에 대해 센티넬원랩스(SentinelOne Labs)은 김수키가 아래와 같이 3단계에 따라 자격증명을 갈취하거나 모니터링한다는 점을 발견했습니다.
1) NK뉴스를 만든 설립자의 지주회사인 KRG를 사칭하여 유사한 NK뉴스 도메인과 아주 유사한 도메인을 사용하며
2) 타겟 대상이 인게이지되면 김수키는 Google 문서에 스푸핑된 URL을 전달합니다.
3) 그리고 브릿지 로그인 페이지로 타겟을 유인하고 로그인 버튼을 클릭했을 때, JavaScript 기능이 실행되면서, HTTP POST 요청을 발행하여, 입력된 자격 증명이 캡쳐됩니다.
지난달 말인 31일 스윔레인의 한국지사의 박경순 지사장이 국내 SOAR 시장 선점에 자신감을 드러냈습니다.세계적으로 SOAR 시장이 급성장세를 보임에 따라, 여러 서드파티와의 호환이 가능한 스윔레인은 해외는물론 국내에서도 점유율을 높여나갈 계획이라고 했습니다.특히 IT보안 전문기업인 에스케어와의 비즈니스 드라이브를 통한포트폴리오를 늘려나갈 계획이라 밝혔습니다.
비트디펜더에서 6개월 이상 탐지되지 않고 동작한 멀웨어 캠페인을 모바일 기기 다수에서 발견했다고 밝혔습니다. 이에 비트디펜더는 "자격증명 및 금융 정보를 훔치는 뱅킹 트로이 목마 혹은 랜섬웨어 같은 다른 유형의 멀웨어로 사용자를 리디렉션 할 수 있을 것"이라고 말했습니다. 이에 대한 상세한 내용이 궁금하시면 링크를 통해 확인부탁드립니다.
지난 3월에 발표된 ESG보고서에 따르면 성숙한 CTI(Cyber-Threat Intelligence) 프로그램의 핵심은 ▲광범위한 사용자 대상 보고서 배포 ▲위협 데이터 대량 분석 ▲다양한 보안 기술과의 통합이었습니다. 아울러 향후 12~18개월 간 63%의 기업이 CTI프로그램 투자를 대폭 늘릴 계획에 있다고 밝혔습니다.
