북한과 관련된 해킹 그룹 '김수키(Kimsuky)'가 삽입된 QR코드를 통해 미국과 해외 정부 및 연구기관을 겨냥한 사이버 공격을 시행하고 있다고 미국 연방수사국(FBI)이 경고했다. 이번 공격 방식은 '퀴싱(Quishing)'이라고 불리며, QR 코드와 피싱(Phishing)을 결합한 형태로, 사용자로 하여금 악성 URL이 포함된 QR 코드를 스캔하도록 유도함으로써 개인 정보를 탈취하는 전략이다.

FBI는 김수키가 2022년 5월에서 6월 사이 비정부기구(NGO), 싱크탱크, 학술기관, 외교 및 안보 전문가들을 대상으로 한 공격이 감지되었다고 발표했다. 이들 해커는 외부 전문가, 대사관 직원, 그리고 싱크탱크 관계자를 사칭하여 이메일을 발송하고, 설문조사 참여 요청이나 보안 드라이브 접근, 콘퍼런스 초대 등을 미끼로 악성 QR 코드를 포함했다. QR 코드를 스캔한 피해자는 공격자가 제어하는 서버에 접속하게 되고, 가짜 로그인 페이지에 유도되어 자신의 계정 정보와 인증 토큰이 탈취되는 과정이 진행된다.

실제 사례로는 한 싱크탱크의 대표에게 한반도 정세에 관한 의견을 묻는 이메일을 보내 QR 코드를 스캔하도록 유도했거나, 북한 인권 관련 연구원에게 보안 드라이브 접근을 가장한 QR 코드를 전달한 경우가 확인되었다. 또한, 전략 자문사를 대상으로은 가짜 국제 콘퍼런스 초청 이메일을 보내 QR 코드를 통해 가짜 구글 로그인 페이지로 유도하는 사례도 존재했다.

FBI는 이와 같은 공격이 기존의 이메일 보안 시스템을 효과적으로 우회할 수 있는 가능성이 크다고 경고한다. 이메일은 관리된 PC에서 열리더라도 QR코드를 스캔하는 과정에서 사용되는 모바일 기기는 보안 통제의 사각지대에 놓일 수 있다는 것이다. 이는 해커가 모바일 환경에 최적화된 피싱 페이지를 통해 다중 요소 인증(MFA)을 우회하고, 클라우드 계정을 감지되지 않게 탈취할 수 있는 경로를 제공한다.

한국의 사이버 보안 기업인 엔키 화이트햇(ENKI WhiteHat)도 최근 김수키 조직이 QR 코드와 모바일 알림 팝업을 이용해 정보 탈취를 위한 악성코드를 설치하도록 유도하는 공격을 포착했음을 보고했다. 추가로 안드로이드 스마트폰을 겨냥한 악성 애플리케이션 배포의 정황도 확인되었다.

전문가들은 이번 공격 방식이 김수키의 사이버 작전이 단순한 악성코드 유포를 넘어 사용자의 행동과 모바일 보안의 사각지대를 교묘하게 공략하는 방향으로 진화하고 있음을 시사한다고 평가한다. 정보 가치가 높은 정책, 외교, 안보 분야의 기관이 주요 타겟이 되고 있다는 점에서, 이는 국가 차원의 사이버 첩보 활동의 성격을 뚜렷이 드러낸다고 분석된다.

FBI는 이러한 경고에 대응하기 위한 몇 가지 조치를 제안하였다. 이에는 ▲QR 코드 피싱 위험성에 대한 임직원 교육 ▲출처가 불분명한 QR 코드 스캔 금지 ▲모바일 기기 관리 시스템(MDM) 도입 ▲강화된 비밀번호 정책 및 다중 요소 인증 적용 ▲QR 코드 스캔 이후 활동 모니터링 강화 등이 포함된다. 마지막으로 관련 공격을 식별할 경우 즉시 FBI 또는 인터넷범죄신고센터(IC3)에 신고할 것을 촉구했다.