티스토리 뷰
목차
편리함 속에 숨은 독, 북한 ‘김수키’의 새로운 칼날 ‘퀴싱(Quishing)’ 주의보
[사이버 보안 긴급 요약]
미국 연방수사국(FBI)은 북한 정찰총국 연계 해킹 조직인 '김수키(Kimsuky)'가 QR 코드를 악용한 '퀴싱(Quishing)' 수법으로 외교·안보 전문가들의 정보를 탈취하고 있다고 경고했습니다. 이들은 보안이 강화된 PC 대신, 상대적으로 방어막이 얇은 개인 모바일 기기를 사용하도록 유도하여 민감한 정보를 가로챕니다. 전문가들은 출처가 불분명한 QR 코드 스캔에 대해 각별한 주의를 당부하고 있습니다.
사이버 공간에서의 총성 없는 전쟁이 더욱 교묘해지고 있습니다. 특히 북한의 국가 배후 해킹 그룹인 김수키는 최근 전통적인 이메일 피싱의 한계를 넘어, 우리 일상에 깊숙이 자리 잡은 QR 코드를 공격의 도구로 삼기 시작했습니다. 퀴싱(Quishing)이라 불리는 이 수법은 기업의 철저한 보안망을 우회하는 지능형 전략으로 평가받고 있어 대응책 마련이 시급합니다.
1. 퀴싱(Quishing)의 정의와 김수키의 타깃
퀴싱은 QR 코드(QR Code)와 피싱(Phishing)의 합성어로, 이미지 내에 악성 URL을 숨겨두는 수법입니다. FBI의 발표에 따르면, 김수키는 주로 미국의 NGO, 싱크탱크, 학계 등 외교정책 전문가들을 정밀 조준하고 있습니다. 이들의 지적 자산과 인적 네트워크를 탈취해 북한 정권의 전략적 이익을 도모하려는 의도로 분석됩니다.
2. 기업 보안망의 사각지대, 모바일 기기를 노린다
대부분의 기업은 PC 이메일에 대해 강력한 URL 필터링과 샌드박스 보안을 적용합니다. 그러나 퀴싱은 이러한 방어 체계를 무력화합니다. 이메일에 포함된 QR 코드를 스캔하기 위해서는 사용자가 개인용 스마트폰을 꺼내야 하기 때문입니다. 회사 보안 솔루션의 통제를 받지 않는 개인 기기가 악성 사이트에 접속되는 순간, 이중 인증(MFA)조차 무력화될 수 있는 세션 탈취 위험에 노출됩니다.
3. 사회공학적 기법의 결합: 설문과 행사를 가장한 유혹
김수키의 공격은 심리적 허점을 파고드는 사회공학적 기법을 적극 활용합니다. 이들은 전문가들이 관심을 가질 만한 세미나 참석 신청, 정책 관련 설문조사, 혹은 긴급한 보안 업데이트 등을 가장하여 QR 코드 스캔을 유도합니다. 피해자가 의심 없이 코드를 찍으면 정교하게 제작된 가짜 로그인 페이지로 연결되며, 여기서 입력된 비밀번호나 생체 정보는 즉시 해커의 서버로 전송됩니다.
4. FBI의 권고 사항: 시스템적 방어와 사용자 교육
FBI는 단순히 주의를 주는 것을 넘어 구체적인 대응 가이드를 제시했습니다. 조직 차원에서는 모바일 기기 관리(MDM) 도구를 배포해 URL 분석 기능을 강화하고, 피싱 방지 기능이 포함된 다중 인증 시스템을 구축해야 합니다. 또한, 임직원들이 모르는 사람으로부터 온 QR 코드를 스캔하는 것이 악성 파일을 직접 실행하는 것과 다름없음을 인지하도록 반복적인 교육이 필요합니다.
5. 개인의 실천 수칙: 스캔 전 URL 확인의 습관화
가장 강력한 방어선은 결국 사용자 자신입니다. QR 코드를 스캔한 후 브라우저가 열리기 전, 미리 보여지는 연결 주소(URL)를 꼼꼼히 확인해야 합니다. 주소가 복잡한 무작위 문자로 되어 있거나, 공식 사이트와 유사하지만 철자가 미묘하게 다른 경우 즉시 접속을 중단해야 합니다. 또한 스마트폰에 백신 프로그램을 설치하고 수시로 업데이트하여 잠재적인 위협에 대비해야 합니다.