북한 해킹그룹 ‘김수키’ 수법과 사례

 

북한 해킹그룹 ‘김수키’가 뭐길래 자꾸 뉴스에 나오나

요즘 보안뉴스에서 자주 보이는 이름, ‘김수키(Kimsuky)’. 국제 보안 업계에서 오랫동안 추적해온 북한 정찰총국 배후로 알려진 사이버 스파이 그룹입니다. 2013년 전후로 활동이 본격 포착되었고, 지금까지도 외교·안보·산업·언론·학술 영역을 광범위하게 노리죠. 특징은 끈질긴 사회공학(스피어 피싱)과 맞춤형 자료 유인, 그리고 장기 잠복이에요.

이 글은 김수키의 목표·수법·사례 패턴을 쉬운 말로 정리하고, 개인/기업/기관이 지금 당장 적용할 수 있는 대응 체크리스트를 제공합니다. 특히 최근 통신사 해킹 의혹 보도처럼 이슈를 빌미로 한 사칭·피싱이 급증하니, “의심되면 끊고, 내가 찾은 번호로 콜백” 원칙을 꼭 기억해두세요.

 

무엇을 노리나: 타깃과 목적

• 정치·외교·안보: 정부 부처, 국책·민간 연구소(싱크탱크), 대북·동북아 전문가 커뮤니티.
• 산업·통신·에너지: 통신사·정보통신기업·제조/에너지/방산 협력사 등 공급망(Supply Chain)까지 확장.
• 언론·학술: 취재원·연구자·교수·대학원생 등 정보 흐름의 결절점.
• 목적: 국가전략과 연계된 정보수집(스파이 활동)이 핵심. 최근에는 외화 조달과 연결된 활동이 관측되기도 합니다.

한마디로, 정보가 모이고 흘러가는 곳을 집요하게 겨냥합니다. 조직적이고 장기적인 캠페인이 많고요.

 

첫 단추: 스피어 피싱(맞춤형 유인)으로 문을 연다

김수키의 가장 강력한 무기는 사람을 속이는 능력이에요. 트렌드 이슈, 정책 보고서, 학술 세미나 초청, 공동연구 제안, 심지어 인사/채용 공고까지 피해자 맞춤형 미끼를 만들어 메일·메신저·SNS로 찔러봅니다.

• 첨부형 : 악성 문서(HWP/Word/PDF), LNK/CHM/스크립트, 압축파일 안에 실행 파일 위장.
• 링크형 : 가짜 로그인 포털(이메일/클라우드/웹메일)로 유도, 자격증명(아이디·비번·OTP) 탈취.
• 회신 체인 악용 : 실제 대화 스레드를 탈취해 진짜 메일처럼 보이게 이어붙이기도 합니다.
• 메신저/전화 병행 : 문자·텔레그램·카톡으로 압박, “지금 인증만 하면 됩니다” 식의 긴급성 부여.

핵심은 “링크/첨부를 열게 하고, 비밀키(자격증명)를 얻는 것”. 기술만큼이나 스토리텔링이 정교합니다.

 

들어온 다음엔? 장기 잠복(지속성)과 정보 유출

일단 내부 진입에 성공하면, 계정·기기·서버에 지속성(Persistence)을 심어 오랫동안 머뭅니다. 일정 작업, 레지스트리 Run 키, 서비스 등록, 원격 스케줄러 등 평범해 보이는 체류 방식을 즐겨 쓰죠.

• 권한 상승 : 도메인 관리자·클라우드 관리자 권한 노리기, 토큰/쿠키 탈취.
• 내부 이동 : 파일 서버·메일 서버·개발/권한관리 시스템으로 Lateral Movement.
• C2 통신 : 가짜 정상 트래픽처럼 보이도록 클라우드/웹서비스를 중계로 활용.
• 유출(Exfiltration) : 문서·메일·계정DB·토큰을 작은 덩어리로 장기간 빼내는 Low & Slow 전략.

정리하면, “보이지 않게 오래 머무르며 필요한 것들을 조금씩 챙겨간다.” 이게 스파이형 APT의 전형입니다.

 

속는 포인트는 늘 같다: 말투·패턴·심리 공략

1. 권위 빌리기 : 정부/기관/언론/유명인 이름을 걸어 신뢰 유도.
2. 긴급 압박 : “10분 내 미처리 시 정지/불이익”. 생각할 시간을 빼앗는 고전 수법.
3. 맞춤형 미끼 : 당사자가 관심 가질 만한 논문·행사·채용·보도자료로 설득력 강화.
4. 대체 경로 봉쇄 : “보안상 링크로만 가능”이라며 앱/공식 사이트 확인을 못 하게 만듦.
5. 혼합 채널 : 이메일 뒤에 전화/메신저 이어 붙여 심리적 압박 최대화.

해결책은 간단합니다. 끊고, 내가 찾은 공식 번호/앱으로 콜백. 그리고 링크는 클릭보다 주소창 직접 입력!

 

이슈 빌미 사칭 ↑: KT·LGU+ 해킹 의혹과 피싱 경계

최근 국내에서 KT·LG유플러스 해킹 의혹 보도와 정부 정밀 점검 이슈가 이어졌죠. 이런 이슈는 항상 사칭 피싱의 먹잇감이 됩니다. “유심 교체” “본인인증 재확인” “보안앱 설치” 같은 문구로 가짜 고객센터/가짜 공지를 보내는 패턴이 늘어요.

원칙: (1) 메시지 속 번호/링크 금지 → (2) 통신사 앱/대표번호로 직접 확인 → (3) 본인인증 기록/소액결제 내역 점검. 정황과 확정은 구분하고, 공식 발표/공지에 따라 행동하세요.

 

개인 사용자 체크리스트: 오늘 30분만 투자하기

• 이메일/포털/통신사 계정 비밀번호 교체(서로 다르게) + 2단계 인증(OTP) 활성화.
• 본인인증 기록과 소액결제/간편결제 내역 주간 점검, 의심 건 즉시 차단.
• 링크/첨부 습관: 주소창 직접 입력 원칙, 알 수 없는 출처 앱 설치 금지.
• 브라우저·OS 업데이트, 보안패치에 뒤처지지 않기.
• 가족 공동 점검 데이 운영: 부모님·자녀폰 권한/잠금/결제 보호 세팅.

한 줄로: “링크는 의심, 기록은 주간, 비번은 순환, 2FA는 기본”.

 

기업·기관 실무: 이메일·권한·탐지·훈련 4축 강화

1. 이메일 보안: SPF·DKIM·DMARC 정렬(Enforce), 인바운드 링크 리라이트/격리, 첨부 격리(샌드박스), 외부 표기 라벨링.
2. 권한/비밀관리: 최소권한·PAM, 비밀/토큰 중앙관리(Vault), 인증서 수명 단축·자동 교체(키 롤링).
3. 탐지/대응: EDR/XDR, 사용자/엔드포인트 비정상 행위 탐지, 로그 보존·관제 룰 업데이트, 위협 헌팅.
4. 교육/훈련: 피싱 모의훈련·테이블탑(콜백 원칙 포함), 보안 공지문 템플릿/FAQ 사전 준비.

추가로 공급망까지 같은 기준으로: 협력사 계정 분리, IP/시간대 제한, 계정 무단 사용 탐지, 보안조항을 계약서에 명시하세요.

 

MITRE 관점의 전형 흐름(라이트 버전)

세부 기법은 캠페인마다 다르지만, 전형 흐름은 아래처럼 요약할 수 있어요.

1. 초기 접근: 스피어 피싱 첨부/링크, 계정정보(크리덴셜) 수집.
2. 실행·지속성: 스크립트/스케줄러/서비스 등록, 레지스트리 Run.
3. 권한 상승·내부 이동: 도메인 정보 수집, 관리자 권한 시도, 파일/메일 서버 확대.
4. 지휘·통제(C2): 정상 서비스 위장, 암호화된 통신.
5. 수집·유출: 문서/메일/계정DB 분할 유출, 클라우드/중계 서버 활용.

대응은 차단(Prevent)·탐지(Detect)·격리/복구(Respond)의 삼박자를 사전 설계해 두는 것이 핵심입니다.

FAQ: 독자 질문에 답합니다

Q1. ‘김수키’가 항상 같은 도구를 쓰나요?
A. 아니요. 미끼·도구·C2는 캠페인마다 달라집니다. 수법은 변하지만, 심리는 비슷해요(권위·긴급·맞춤형 유인).

Q2. 대표번호로 걸려온 전화도 믿으면 안 되나요?
A. 발신번호 조작(스푸핑)이 가능합니다. 언제나 콜백(내가 찾은 공식 번호)으로 재확인하세요.

Q3. 링크를 눌렀다면 끝난 건가요?
A. 아닙니다. 브라우저/앱 닫고, 핵심 계정 비번 변경+2FA, 통신사/결제사 차단·신고, 증거 캡처 후 48시간 모니터링 하세요.

Q4. 알뜰폰(MVNO) 사용자는 별도로 뭘 해야 하나요?
A. 재발급/콜백 절차가 사업자마다 다릅니다. 고객센터 경로·필요 서류·처리 시간을 미리 알아두면 유사시 빠릅니다.

Q5. 최신 정보는 어디서 확인하죠?
A. 통신사/기업 공식 공지, 정부·유관기관 알림(KISA 118) 등 공식 채널이 기준입니다. 루머·확대 해석은 보류하세요.

 

정리: 링크는 의심, 확인은 콜백

김수키의 본질은 기술+심리의 혼합이에요. 악성코드가 치밀한 만큼, 스토리텔링도 정교합니다. 하지만 우리의 대응 원칙도 명확하죠. 의심 링크 금지, 주소창 직접 입력, 공식 앱 우선, 콜백으로 재확인. 여기에 비밀번호 순환·2FA, 기록 주간 점검만 더하면, 대부분의 시도는 초기에 꺾을 수 있습니다.

이 글을 가족/팀에 공유하고, 이번 주 안에 60초 역할극 한 번만 실습해 보세요. 실전에서 손이 먼저 끊고, 콜백하는 자신을 보게 될 거예요.

같이 보면 좋은 글

 

KT · LGU+ 해킹 의혹, 지금 뭐가 사실일까?

 

스타마을 20, 농촌여행 끝판왕! 최대 50% 혜택

 

8월 26일부터 외국인 집 구입, 사전허가 필수

 

죽어야 받던 사망보험금, 살아서 받는다?!

 

2025년 서울 가을 축제 완전 정복!

 

헬스장, 수영장 이용하고 300만원 돌려받는 방법

 

최신 주거급여 완벽 가이드 – “나도 받을 수 있을까요?”