Kimsuki 피싱 QR 코드 공격

미국 연방수사국(FBI)은 북한의 국가 지원 해킹 조직이 미국 내 기업들을 대상으로 고도의 표적 공격을 위해 악성 QR 코드를 이용한 스피어 피싱 공격을 활발히 펼치고 있다고 경고하는 공개 권고문을 발표했습니다. 2025년 한 해 동안 관찰된 이러한 공격은 QR 코드를 이용해 악성 콘텐츠를 전달하는 피싱 공격인 '퀴싱(quishing)'으로의 전환이 가속화되고 있음을 보여줍니다.

이 캠페인의 배후에는 누가 있는가?

해당 활동은 보안 커뮤니티에서 APT43, 블랙 밴시, 에메랄드 슬리트, 스프링테일, TA427, 벨벳 천리마 등으로 알려진 김수키 위협 그룹의 소행으로 추정됩니다. 이 그룹은 북한 정찰총국(RGB)과 연계된 것으로 평가됩니다.

Kimsuky는 정교한 스피어 피싱 공격, 특히 이메일 인증 제어를 회피하거나 약화시키도록 설계된 공격으로 오랫동안 악명을 떨쳐왔습니다. 2024년 5월, 미국 정부는 이 그룹이 취약하거나 잘못 구성된 DMARC 정책을 악용하여 합법적인 도메인을 매우 그럴듯하게 사칭하는 이메일을 발송했다고 공식 발표했습니다.

QR 코드가 이러한 공격을 그토록 위험하게 만드는 이유는 무엇일까요?

기존의 피싱 공격과 달리 QR 코드 기반 유인 공격은 피해자를 기업 관리 시스템에서 벗어나 개인용 또는 보안이 취약한 모바일 기기로 유도합니다. 이러한 전환을 통해 공격자는 기업 이메일 보안 도구, 엔드포인트 보호 플랫폼 및 네트워크 모니터링 제어를 우회할 수 있습니다.

악성 QR 코드를 스캔하면 공격자가 제어하는 인프라로 연결되어 자격 증명, 세션 쿠키 또는 민감한 데이터가 표준 기업 경고를 발생시키지 않고 수집될 수 있습니다.

FBI가 관찰한 2025년 공격 시나리오

FBI는 2025년 5월과 6월에 Kimsuky 관련자들이 벌인 여러 건의 표적 공격을 보고했는데, 그 내용은 다음과 같습니다.

• 외교 정책 자문가를 사칭하여 싱크탱크 대표에게 한반도 정세에 관한 설문지를 작성하기 위해 QR 코드를 스캔하도록 요청했습니다.
• 북한 인권 문제에 대한 전문가 의견을 구하는 대사관 직원으로 가장하고, '보안 드라이브'로 연결된다는 QR 코드를 제시했습니다.
• 싱크탱크 직원으로 가장하여 피해자를 공격자가 제어하는 인프라로 연결하는 QR 코드를 전송하여 추가 악용을 유도했습니다.
• 전략 자문 회사를 대상으로 가짜 컨퍼런스 초대장을 보내고, 해당 초대장에 포함된 QR 코드를 통해 구글 계정 정보를 탈취하는 가짜 로그인 포털을 구축하여 등록 페이지를 유도하는 수법을 사용했습니다.

이러한 사건들은 보안 연구원들이 김수키(Kimsuky)가 운영하는 QR 코드 캠페인을 통해 서울에 있는 물류 회사를 사칭한 피싱 이메일로 새로운 안드로이드 악성코드 변종인 'DocSwap'을 유포한 사실을 밝혀낸 직후에 발생했습니다.

Quishing이 MFA에 대한 내성을 갖춘 침입을 가능하게 하는 방법

최근의 공격 기법은 세션 토큰 탈취 및 재실행으로 이어지는 경우가 많습니다. 공격자는 활성 인증 토큰을 확보함으로써 다단계 인증을 완전히 우회하고, 일반적인 'MFA 실패' 경고 없이 클라우드 계정 정보를 탈취할 수 있습니다.

공격자는 이러한 방식으로 피해자 환경에 지속적인 접근 권한을 확보하고, 손상된 사서함을 이용하여 내부적으로 2차 스피어 피싱 공격을 감행하는 경우가 많습니다. 초기 침해가 관리되지 않는 모바일 기기에서 발생하고, 표준 EDR(Endpoint Detection and Response) 범위 및 네트워크 검사 경계를 벗어나기 때문에, 퀴싱(quishing)은 기업 환경에서 높은 신뢰도를 자랑하는 다단계 인증(MFA)에 대한 저항력을 갖춘 신원 침해 기법으로 간주됩니다.