🎯 북한 해커 조직 ‘Kimsuky(김수키)’의 새로운 사이버 공격 수법, ZIP 파일 하나로 당신의 정보를 탈탈 턴다!

북한 정부가 지원하는 해커 그룹 ‘Kimsuky’가 다시 한 번 사이버 안보의 경고등을 켰습니다.
이들은 2012년부터 한국, 일본, 미국 등을 타깃으로 꾸준히 사이버 첩보전을 벌여온 APT(지능형 지속 위협) 그룹인데요,
최근에는 ZIP 파일 하나로 이뤄지는 정교한 공격 수법이 발견돼 보안 전문가들의 주의를 끌고 있어요. 🕵️‍♂️💻

---

🧨 ZIP 파일 안에 숨겨진 위험한 트릭

Genians Security Center(GSC) 분석에 따르면, 최근 유포된 ZIP 파일에는 아래와 같은 네 가지 파일이 들어 있었어요.

• 1.vbs: 비주얼 베이직 스크립트 (VBScript)
• 1.ps1: 파워셸 스크립트
• 1.log, 2.log: 인코딩된 텍스트 파일

표면적으로는 아무 이상 없어 보이지만, 실상은 복잡하게 얽힌 다단계 감염체계의 첫 단추입니다. 📂💣

---

🧬 공격 흐름: 정말 교묘하다…

1️⃣ 먼저 1.vbs는 chr()와 CLng() 같은 함수를 이용해 명령어를 동적으로 조합합니다.
이 덕분에 일반적인 백신은 이 파일을 쉽게 탐지하지 못해요.

2️⃣ 이 VBScript는 1.ps1 파워셸 스크립트를 실행시키며,
여기에 1.log 파일을 인자로 넘깁니다.

3️⃣ 1.ps1은 base64로 인코딩된 내용을 디코딩한 뒤, BIOS 시리얼 번호 등을 수집하고,
임시 폴더에 공격 관련 파일을 저장해요.
여기에다가 VMware 같은 가상환경에서 실행되면 자동으로 모든 흔적을 지우는
‘셀프 디스트럭트(자폭)’ 기능도 내장돼 있어요. 🧹🧨

---

🕷️ 어떤 정보를 노렸을까?

Kimsuky의 악성코드는 다음과 같은 기능을 가지고 있어요:

• 웹 브라우저(Chrome, Firefox, Edge, 네이버 웨일 등) 쿠키 및 로그인 정보 탈취
• 암호화폐 지갑 확장 프로그램 탐색
• 시스템 정보 수집 (BIOS 정보, OS 버전, 컴퓨터 이름 등)
• 키보드 입력 감시 및 클립보드 내용 추적
• 활성 윈도우 창 제목 로깅

수집된 정보는 ZIP 파일로 압축해 원격 서버에 업로드되며, 암호화도 꽤 철저해요.
XOR, AES-CBC-128, RSA를 모두 사용해 통신 데이터를 숨기고 있죠. 🔐📤

---

🧠 이 공격이 무서운 이유

이 캠페인이 특별히 주의할 점은 ‘파일리스(Fileless)’ 방식이라는 건데요.
디스크에 흔적을 남기지 않고 메모리에서만 악성 코드를 실행시키기 때문에 탐지하기 매우 어렵습니다.

게다가, 실제로는 존재하지 않는 남한 싱크탱크의 안보 세미나 초대장,
러시아 주둔 북한군 관련 문서 등 맞춤형 내용으로 위장된 피싱 메일을 통해 공격 대상에게 ZIP 파일을 유포했어요.
즉, 사회공학 기법까지 결합된 고도화된 공격입니다. 🎯📧

---

📌 대응 방법: 지금 할 수 있는 일은?

✅ 의심스러운 ZIP 파일 절대 열지 않기
✅ LNK, VBS, PS1 파일은 실행 전 반드시 출처 확인
✅ 최신 EDR(Endpoint Detection & Response) 솔루션 도입 고려
✅ 백신만 믿지 말고, MITRE ATT&CK 기반 이상행위 탐지 체계 구축
✅ 클라우드 기반 API 통신 감시도 중요

특히, Kimsuky는 VPN(AstrillVPN, NordVPN 등)을 활용해 흔적을 지우고,
정교하게 위장된 LinkedIn 프로필을 활용해 신뢰도를 높이기도 하니,
이메일 출처나 인물 정보도 꼼꼼히 확인해야 합니다.

---

💡 북한의 사이버전 능력은 단순한 해킹을 넘어선 ‘국가 주도의 첩보 활동’에 가깝습니다.
이처럼 세련된 공격 기법은 앞으로 더 다양하고 위협적인 형태로 진화할 수 있습니다.
따라서 민간 기업과 공공기관 모두가 철저한 보안 교육과 기술적 대응체계를 함께 마련해야 할 때입니다.