최고의 암호화폐 관련 정보를 이메일로 받아보세요.
-
FBI는 Kimsuky APT가 악성 QR 코드를 이용해 미국의 싱크탱크, 학계, NGO 및 정부 관련 단체를 대상으로 스피어피싱 공격을 감행하고 있다고 밝혔습니다.
-
이러한 공격은 피해자들을 모바일 기기로 몰아넣어 해커들이 이메일 보안과 엔드포인트 방어 체계를 우회할 수 있게 합니다.
-
QR 코드를 스캔하면 가짜 로그인 페이지로 연결되고, 세션 토큰이 도용되며, 경고 없이 MFA(다단계 인증)가 우회됩니다.
미 연방수사국(FBI)은 북한 정부의 지원을 받는 해킹 그룹인 김수키 APT가 북한 정책과 관련된 미국 기관들을 침입하기 위해 악성 QR 코드를 사용하고 있다고 밝혔습니다.
이 경고는 FBI가 NGO, 싱크탱크, 대학 및 정부 관련 단체와 공유한 2025년 FLASH 보고서에 담겨 있습니다. FBI는 대상 단체들의 공통점으로 북한을 연구하거나, 자문하거나, 북한과 관련된 업무를 하는 단체들을 지목했습니다.
FBI에 따르면, Kimsuky APT는 링크 대신 QR 코드를 이용하는 스피어피싱 공격, 즉 퀴싱(Quishing) 기법을 사용하고 있습니다.
QR 코드는 악성 URL을 숨기고 있으며, 피해자들은 거의 대부분 업무용 컴퓨터가 아닌 휴대전화로 QR 코드를 스캔합니다. 이러한 특성 덕분에 공격자들은 일반적으로 피싱 공격을 차단하는 이메일 필터, 링크 스캐너, 샌드박스 도구를 우회할 수 있습니다.
Kimsuky APT는 정책 및 연구 대상에게 QR 코드 기반 이메일을 발송합니다
FBI는 김수키 APT가 2025년에 여러 가지 테마별 이메일을 사용했다고 밝혔습니다. 각 이메일은 대상의 직업과 관심사에 맞춰 구성되었습니다. 5월에는 공격자들이 외국 자문가를 사칭하여 한 싱크탱크 대표에게 한반도 정세에 대한 의견을 묻는 이메일을 보냈습니다. 이메일에는 설문지를 열 수 있다는 QR 코드가 포함되어 있었습니다.
5월 말, 해당 그룹은 대사관 직원으로 가장했습니다. 이메일은 한 싱크탱크의 선임 연구원에게 발송되었으며, 북한 인권 문제에 대한 의견을 요청했습니다. 첨부된 QR 코드는 보안 드라이브를 해제하는 데 사용된다고 주장했습니다. 같은 달, 또 다른 이메일은 싱크탱크 직원을 사칭했습니다. 이메일의 QR 코드를 스캔하면 피해자는 악성 활동을 위해 구축된 Kimsuky APT 인프라로 연결되었습니다.
FBI에 따르면, 해당 그룹은 2025년 6월 한 전략 자문 회사를 표적으로 삼았습니다. 이메일은 직원들을 존재하지 않는 컨퍼런스에 초대하는 내용이었으며, QR 코드를 클릭하면 등록 페이지로 연결되었습니다. 등록 버튼을 클릭하면 가짜 구글 로그인 페이지로 이동했고, 이 페이지에서 사용자 이름과 비밀번호가 수집되었습니다. FBI는 이 단계를 T1056.003으로dent개인정보 수집 활동 trac시켰습니다.
QR 코드 스캔은 토큰 도난 및 계정 탈취로 이어질 수 있습니다
FBI는 "이러한 공격은 종종 세션 토큰 탈취 및 재실행[T1550.004]으로 이어져 공격자가 다단계 인증[T1550.004]을 우회하고dent일반적인 'MFA 실패' 경고 없이 클라우드 ID를 탈취할 수 있게 됩니다." 밝혔습니다
FBI에 따르면 이러한 공격의 상당수는 세션 토큰 탈취 및 재사용으로 끝납니다. 이를 통해 공격자는 경고 없이 다단계 인증을 우회할 수 있습니다. 계정은 조용히 탈취된 후, 공격자는 설정을 변경하고, 접근 권한을 추가하고, 제어권을 유지합니다. FBI는 이렇게 탈취된 사서함을 이용하여 동일 조직 내에서 추가적인 스피어피싱 이메일을 발송한다고 밝혔습니다.
FBI는 이러한 공격이 개인 휴대전화에서 시작된다는 점에 주목했습니다. 따라서 일반적인 엔드포인트 탐지 도구나 네트워크 모니터링으로는 탐지할 수 없습니다. 이러한 이유로 FBI는 다음과 같이 밝혔습니다
"퀴싱은 이제 기업 환경에서 신뢰도가 높고 MFA(다단계 인증)에dent신원 도용 공격 수단으로 간주됩니다."
FBI는 조직들에게 위험을 줄일 것을 촉구합니다. FBI는 직원들에게 이메일, 편지, 전단지 등에 있는 임의의 QR 코드를 스캔하는 것에 대해 주의를 주어야 한다고 밝혔습니다. 교육에는 허위 긴급 메시지 및 사칭에 대한 대응 방안이 포함되어야 합니다. 직원들은 로그인하거나 파일을 다운로드하기 전에 직접 연락하여 QR 코드 요청의 진위 여부를 확인해야 합니다. 명확한 신고 규정도 마련되어 있어야 합니다.
FBI는 또한 "모든 원격 접속 및 중요 시스템에 피싱 방지 MFA를 사용하고", "최소 권한 원칙에 따라 접근 권한을 검토하고 사용하지 않거나 과도한 계정 권한이 있는지 정기적으로 감사하라"고 권장합니다
이 글을 읽고 계시다면 이미 앞서 나가고 계신 겁니다. 뉴스레터를 구독하시면 더욱 유익한 정보를 받아보실 수 있습니다.
자이 하미드
자이 하미드는 지난 6년간 암호화폐, 주식 시장, 기술, 세계 경제 및 시장에 영향을 미치는 지정학적 사건들을 다뤄왔습니다. 그녀는 AMB Crypto, Coin Edition, CryptoTale 등 블록체인 전문 매체에서 시장 분석, 주요 기업, 규제 및 거시 경제 동향 관련 기사를 작성했습니다. 런던 저널리즘 스쿨을 졸업했으며, 아프리카 최고의 TV 방송국 중 한 곳에서 세 차례에 걸쳐 암호화폐 시장 관련 통찰을 제공했습니다.
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)