북한 정찰총국 산하 해커조직 ‘김수키’가 심리적 교란 전술을 통해 사이버 공격을 시도한 정황이 드러났다.

1일 사이버 보안 기업 지니언스 블로그에 따르면 이 회사의 보안센터는 지난 3월 국내에서 김수키의 ‘클릭픽스’(ClickFix) 공격 전술 활동을 포착했다.

클릭픽스는 공격자가 의도한 대로 사용자가 특정 명령을 수행하도록 유도하는 공격 방식이다.

위협 요소를 의심·인지하지 못하게 한 뒤, 허위 메시지로 단계별 명령을 실행하게 하는 심리적 교란 전술에 해당한다.

미국 안보 분야 고위급 인물의 보좌관을 사칭한 공격자는 주요 인사가 곧 한국에 방문할 계획이라며, 문서 수신자에게 회의 참석이 가능한지 질문하며 접근했다.

수신자가 참석이 가능하다고 답하면, 공격자는 전문가 회의에 필요한 질문 목록을 미리 확인할 수 있다며 첨부파일을 전달했다.

첨부파일에는 사용 설명서와 함께 ‘Code.txt’ 파일이 포함됐다.

이는 기존 클릭픽스 전술이 특정 오류를 수정하도록 클릭을 유도하는 방식인 반면, 이번 사례는 보안 문서 열람을 위해 필요한 인증코드 복사 및 붙여넣기 입력 방식으로 응용됐다고 지니언스는 설명했다.

지니언스는 클릭픽스 공격을 막기 위해 보안 교육을 강화하고, EDR(엔드포인트 위협 탐지·대응) 시스템을 통해 이상 행위를 탐지해야 한다고 당부했다.

이재걸 기자

claritas@naeil.com