北 해킹조직 김수키, QR코드로 침투

FBI "보안 우회 신종 퀴싱 공격 확인"
QR코드 스캔 유도해 계정 탈취
설문·콘퍼런스 초대 위장
美 정부 "조직적 캠페인"

북한 정찰총국과 연계된 해킹조직 '김수키(Kimsuky)'가 QR 코드를 이용한 신종 피싱 수법을 활용해 미국과 외국 정부·연구기관을 대상으로 사이버 공격을 벌이고 있다고 미 연방수사국(FBI)이 경고했다.

미국 연방수사국(FBI)이 북한 배후 해킹조직 김수키(Kimsuky)가 미 주요 기관 대상 악성 QR 코드를 이용한 해킹(퀴싱·Quishing)을 벌이고 있다고 경고했다. 구글 제미나이 생성 이미지

FBI는 8일(현지시간) 공개한 사이버 정보 경보를 통해 김수키 조직이 지난해 5~6월 비정부기구(NGO), 싱크탱크, 학계, 외교·안보 전문가 등을 상대로 이른바 '퀴싱(Quishing)' 공격을 감행한 정황이 포착됐다고 밝혔다. 퀴싱은 QR 코드(QR)와 피싱(Phishing)을 결합한 해킹 수법으로, 악성 URL을 QR 코드에 삽입해 정보 탈취를 시도하는 방식이다.

FBI에 따르면 김수키는 외국 자문가, 대사관 직원, 싱크탱크 관계자 등을 사칭해 이메일을 발송한 뒤, 설문조사 참여나 보안 드라이브 접근, 콘퍼런스 초대 등을 명분으로 악성 QR 코드를 포함시켰다. 피해자가 QR 코드를 스마트폰으로 스캔하면 공격자가 통제하는 서버를 거쳐 가짜 로그인 페이지로 연결되고, 이 과정에서 계정 정보와 인증 토큰 등이 탈취되는 구조다.

실제 사례로는 한 싱크탱크 대표에게 한반도 정세 관련 의견을 요청하는 이메일을 보내 QR 코드 스캔을 유도하거나, 북한 인권 관련 연구원에게 보안 드라이브 접근을 가장한 QR 코드를 전달한 경우가 확인됐다.

또한 전략자문사를 대상으로 존재하지 않는 국제 콘퍼런스 초청 메일을 보내 QR 코드를 통해 가짜 구글 로그인 페이지로 유도한 사례도 보고됐다.

FBI는 이러한 공격이 기존 이메일 보안 체계를 우회할 가능성이 크다고 지적했다. 이메일은 보안이 적용된 PC에서 열더라도, QR 코드 스캔 과정에서 관리되지 않는 모바일 기기를 사용하게 되면서 보안 통제가 작동하지 않을 수 있다는 것이다. 이 경우 공격자는 모바일 환경에 최적화된 피싱 페이지를 통해 다중요소인증(MFA)을 우회하고 클라우드 계정을 감지되지 않게 탈취할 수 있다.

한국 사이버보안 업체 엔키 화이트햇(ENKI WhiteHat)도 최근 김수키 조직이 QR 코드와 모바일 알림 팝업을 활용해 정보 탈취 악성코드를 설치하도록 유도하는 공격을 포착했다고 보고한 바 있다. 연구진은 안드로이드 스마트폰을 겨냥한 악성 애플리케이션 배포 정황도 확인됐다고 밝혔다.

보안 전문가들은 이번 공격이 김수키의 사이버 작전이 단순 악성코드 유포를 넘어, 사용자 행동과 모바일 보안 사각지대를 교묘히 파고드는 방향으로 진화하고 있음을 보여준다고 평가한다.

특히, 정책·외교·안보 분야처럼 정보 가치가 높은 기관이 주요 표적이 되고 있다는 점에서 국가 차원의 사이버 첩보 활동 성격이 뚜렷하다는 분석이다.

FBI는 대응책으로 ▲임직원 대상 QR 코드 피싱 위험성 교육 ▲출처가 불분명한 QR 코드 스캔 금지 ▲모바일 기기 관리(MDM) 도입 ▲강화된 비밀번호 정책과 다중요소인증 적용 ▲QR 코드 스캔 이후 활동에 대한 모니터링 강화를 권고했다. 아울러 관련 공격을 확인할 경우 즉시 FBI나 인터넷범죄신고센터(IC3)에 신고해 달라고 당부했다.

김희윤 기자 film4h@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>