2014년 한수원 'Who Am I' 트윗부터 2025년 ChatGPT 군무원증·Triple Combo까지, 13년간 한국 정부·외교를 떠나지 않은 북한 Kimsuky의 시기별 진화와 한국 도구 특화 운영 분석.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2014년 12월 15일, 트위터에 게시글이 하나 올라왔다. 게시자 이름은 'Who Am I'. 첨부된 자료는 한국수력원자력 임직원 1만 799명의 명단과 월성 1호기 배관 도면이었다. 자칭 '반핵 단체'라는 게시자는 짧은 협박을 남겼다.
12월 25일까지 고리 1·3호기, 월성 2호기 가동을 중단하라. 그러지 않으면 보유한 모든 원전 자료를 차례로 공개한다.
한국 정부가 'Who Am I'의 정체를 알아내는 데는 약 두 주가 걸렸다. 합동수사단이 이메일에 사용된 악성코드를 분석하자, 한글 프로그램의 제로데이 취약점 코드와 구성이 한 단어와 일치했다. kimsuky. 그날부터 13년간, 같은 그룹은 한국 정부·외교·통일 분야 표적을 떠나지 않았다.
미국 CISA는 2020년 권고문 AA20-301A에서 Kimsuky를 북한 정찰총국 산하 부대로 분류했다. 핵·제재·한반도 정책에 대한 글로벌 정보 수집이 주된 임무라고 기술했다. 2023년 Mandiant는 같은 그룹을 별도 분석에서 APT43으로 명명했다. Microsoft는 Emerald Sleet으로, Proofpoint는 TA427로, Trend Micro는 Black Banshee로 부른다.
이름이 흩어진 것은 그들의 활동이 너무 광범위하기 때문이다. 외교 정보 수집, 학술 정찰, 통신 인프라 침투, 암호화폐 탈취 — 한 그룹이 동시에 여러 라인을 운영하면서, 분석 업체마다 자기가 추적한 라인을 다른 이름으로 명명했다.
MITRE는 이 모두를 G0094로 통합했다. 그러나 보고서마다 어떤 이름으로 부르느냐는, 그 보고서가 어떤 라인을 본 건지를 의미한다.
1기 (2012~2018) — HWP 매크로 시대. 초기 Kimsuky의 무기는 단순했다. 한컴오피스 문서에 매크로를 심고, 학회 논문 첨부 파일로 위장해 메일을 보냈다.
한컴오피스 2014의 제로데이 취약점 CVE-2015-6585가 이 시기 핵심이었다. 한국 외 어떤 보안 업체도 깊이 다루지 않는 환경이었기 때문에 차단은 쉽지 않았다. 2018년 Operation STOLEN PENCIL 캠페인에서는 북한 연구자들을 표적으로 한 학술 메일이 다년간 운영됐다.
2기 (2019~2023) — AppleSeed와 LinkedIn 정찰 시대. 2019년 5월 새로운 백도어 AppleSeed가 관측됐다. 키로깅·화면 캡처·문서 수집·USB 기기 인식이 가능한 기능 풀세트.
흥미로운 사실은 인프라 운영 방식이었다. 2021년 AhnLab이 발견한 패턴은 의외였다. 피싱 메일을 보낸 도메인이 며칠 뒤 표적 PC의 백도어 통신 도메인으로 그대로 사용되고 있었던 것이다.
다른 APT 그룹이라면 발각 즉시 인프라를 버린다. Kimsuky는 그러지 않았다. 같은 도메인을 캠페인이 끝나도 그대로 두고, 다음 표적의 메일에서 또 등장시켰다. 그들에게 익명성보다 더 중요한 것은 비용이었다.
이 시기의 또 한 가지 변화는 정찰의 정밀도다. JPCERT/CC와 AhnLab ASEC은 2024년 보고서에서 Kimsuky가 LinkedIn으로 표적의 소속·경력·기술·논문을 수집한다고 기술했다. 메일 본문에 web beacon을 삽입해 계정 활성 여부를 확인한 뒤에야 본격 페이로드가 나갔다.
3기 (2024~) — AI 위장 시대. 2024년 7월, 보안 업체 Zscaler가 새로운 도구를 발견했다. TRANSLATEXT라는 이름의 크롬 확장 프로그램. 번역 도구로 위장하되, 표적이 네이버 로그인 페이지에 진입하는 순간 악성 스크립트를 주입해 자격증명을 탈취했다. 한국 사용자만을 표적으로 한 첫 브라우저 확장이었다.
2025년 7월 17일, 국방 관련 기관 직원의 메일함에 '군무원증 초안 검토 요청'이라는 메일이 도착했다. 첨부된 군무원증 이미지는 TruthScan 분석에서 AI 생성 확률 98%로 판정됐다.
ChatGPT에게 '실제 군무원증 복제'를 요청하면 거부되지만, '샘플 디자인 mock-up'으로 프레임을 바꾸자 안전 장치가 우회됐다. 이미지는 미끼였다. 같은 메일에 첨부된 ZIP 안의 LNK 파일이 진짜 페이로드였다.
3기의 정점은 2025년 봄의 Genians 'Triple Combo' 캠페인이었다. 'Transitional Justice Mission'이라는 이름의 Facebook 계정이 북한 관련 활동가들에게 friend request를 보내고, 메시지로 신뢰를 쌓은 뒤, 이메일과 텔레그램으로 채널을 옮겼다. 최종 페이로드는 탈북민지원봉사활동.jse 파일이었다.
C2 도메인은 woana.n-e.kr이고 RC4 + RSA로 트래픽을 암호화했다. 회피 핵심은 한국 압축 도구 Bandizip + EGG 암호화로, 모바일이 아닌 Windows PC에서만 풀리도록 강제한 것이다.
| 연도 / 캠페인 | 표적 | 결과 |
|---|---|---|
| 2014 한수원 침투 | 원전 직원, 도면 | 임직원 1만 799명 정보 + 도면 19종 공개 |
| 2018 Operation STOLEN PENCIL | 학계 (북한 연구자) | 다년간 메일 탈취 |
| 2019 Operation Kabar Cobra | 정부, 언론 | 자료 수집 지속 |
| 2024 TRANSLATEXT 크롬 확장 | 학술·통일 분야 | 네이버 자격증명 탈취 |
| 2025 통신사 침투 의혹 | KT, LG U+ | 한국 보안 업계가 Kimsuky 시그니처 일치 보고 |
KT·LG U+ 침투는 2025년 8월 ZDNet Korea 보도로 알려졌다. 공식 귀속은 미확정이지만, 한국 보안 업계는 자격증명 탈취 패턴과 C2 인프라가 Kimsuky 시그니처와 일치한다고 보고했다.
13년을 돌아보면 도구가 바뀌었다. HWP 매크로에서 AppleSeed로, AppleSeed에서 ChatGPT 위조 문서로. 표적도 일부 바뀌었다. 학술 연구자에서 통신사 직원으로, 정부 부처에서 암호화폐 거래소로.
그러나 한 가지가 그대로다. 한국 도구 특화 운영이다. HWP, EGG, 네이버, Bandizip — 글로벌 보안 업체가 우선순위로 다루지 않는 한국 도구를 표적 삼는다.
한컴오피스의 제로데이 버그는 글로벌 CVE 데이터베이스에 등록되어도 외부에서는 깊이 다뤄지지 않는다. EGG 압축 포맷에 대응하는 안티멀웨어는 한국 외에는 적다. 네이버 자격증명을 노린 크롬 확장은 한국이 아니면 의미가 없다.
이 격차가 Kimsuky의 본진이다. 그리고 BabyShark·AppleSeed 분석을 위한 YARA 룰이 한국 보안 업체에서 다수 공개됐지만, 한 변종이 차단되면 다음 빌드가 빠르게 등장하는 패턴이 13년째 반복된다.
각 단계의 기법 자체는 평범하다. 어느 APT 그룹이든 쓴다. Kimsuky의 차이는 정찰과 위장의 정밀도다.
LinkedIn에서 표적의 1년치 활동을 보고, 한국어 학회 메일 본문을 자연스럽게 쓰고, 한컴오피스 환경에 특화된 BabyShark이 자동으로 시스템을 프로파일링한다. 표적 개인이 본인 메일이 아닌 것을 알아채는 단서는 발신자 도메인의 한 글자 차이뿐이다.
이 글을 끝까지 읽은 당신의 LinkedIn 프로필을 떠올려보자. 다음 중 해당되는 항목이 있는지.
하나라도 해당되면, 당신은 이미 표적 후보 명단에 올라 있을 가능성이 있다.
Kimsuky는 13년간 한국을 떠나지 않았고, 떠날 이유도 없다. 한국 도구 특화 운영의 비용 우위는 줄어들지 않았고, AI 도구의 등장으로 위장 비용은 오히려 더 낮아졌다.
4개 피싱 변종이 한 분기에 동시 운영되는 시대다. 그들의 다음 메일이 당신의 받은편지함에 도착했을 때, 그것을 알아챌 단서는 단 하나일 가능성이 높다. 발신 도메인의 한 글자 차이.
58건 이상의 캠페인이 누적된 13년이다. 14년째도 시작됐다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
KW_PROTECT_0