이메일 한글파일 열었더니 감염…북한 해킹 ‘아르테미스’ 작전 포착

김영희 2025. 12. 22. 11:37
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

APT37, 교수·방송작가 사칭한 표적 피싱
HWP에 악성 OLE 삽입…이미지 은닉 기법도
▲ 공격 시나리오. 지니언스 제공

북한과 연계된 것으로 알려진 해킹 조직 APT37이 한글(HWP·HWPX) 문서 내부에 악성 파일을 삽입하는 이른바 ‘아르테미스 작전’을 수행한 정황이 확인됐다.

국내 보안업체 분석 결과, 이들은 사회적 신뢰도가 높은 인물을 사칭하고 표적형 피싱을 결합해 공격을 고도화해온 것으로 드러났다.

22일 지니언스 시큐리티센터는 APT37 그룹이 수행한 아르테미스 작전을 식별했다고 밝혔다. 지니언스에 따르면 해당 공격은 한글 문서를 주요 매개체로 삼아 악성코드를 은밀히 유포하는 방식이 특징이다.

앞서 지난 10월 미국의 북한 전문 매체 38노스는 한글 문서가 북한의 사이버 공격 그룹이 선호하는 주요 공격 수단으로 자리 잡고 있다고 분석한 바 있다. 이번에 포착된 공격 역시 이 같은 흐름과 맞닿아 있다.

APT37은 초기 침투 단계에서 타인을 사칭하는 스피어 피싱을 활용했다. 공격자는 한글 문서를 이메일로 전달하고, 문서 안에 삽입된 악성 OLE 개체를 실행하도록 유도해 피해자 시스템에 대한 접근 권한을 확보했다. 이 과정에서 사용자는 정상 문서를 열었다고 인식하지만, 실제로는 악성 코드가 실행되는 구조다.

침투 이후에는 스테가노그래피와 DLL 사이드 로딩 등 복합 기법을 활용해 악성 행위의 실행 흐름을 숨기고 보안 프로그램의 탐지를 회피했다. 스테가노그래피는 JPEG 이미지 내부에 RoKRAT 악성 파일을 은닉해 전달하는 방식으로, APT37은 지난 7월부터 해당 기법을 활용해 RoKRAT 모듈을 은밀히 적재해온 것으로 분석됐다.

특히 지난 8월부터는 기존에 보고된 적 없는 인물 사진을 공격에 사용한 점이 새롭게 확인됐다.

DLL 사이드 로딩 기법도 병행됐다. 마이크로소프트 시스템 관리 도구 모음에 포함된 정상 시스템 유틸리티를 악용해, 실행 파일과 동일한 경로에 조작된 악성 DLL을 배치하고 프로그램이 이를 정상 파일로 오인해 불러오도록 유도했다.

지니언스는 APT37이 지난 8월부터 11월까지 약 4개월간 공격 방식을 연속적으로 고도화해왔다고 설명했다. 지난 8월 말에는 국회 국제회의 토론자 초청 요청서를 가장한 이메일을 발송하며, 사회적 신뢰도가 높은 국내 한 대학 교수의 신원을 사칭한 사례가 포착됐다.

이메일에는 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’ 파일이 첨부됐으며, 수신자의 관심 분야를 정밀하게 반영한 표적형 기만 전술이 적용됐다.

이와 유사하게 국내 주요 방송사 프로그램 작가를 사칭해 북한 체제와 인권 문제 관련 인터뷰를 요청한 뒤, 여러 차례 대화를 통해 신뢰를 쌓은 후 악성 한글 문서를 전달한 사례도 확인됐다. 서로 다른 방송 프로그램에 소속된 두 명의 작가 이름이 도용됐으며, 이는 피해자의 경계심을 낮추기 위한 사회공학적 기법으로 풀이된다.

대학 교수나 방송사 작가 사칭 외에도 특정 논평이나 행사 관련 문서를 위조한 공격 사례가 다수 확인됐다. 이들 공격은 문서 내부에 삽입된 OLE 개체를 하이퍼링크로 위장해 사용자가 직접 실행하도록 유도하는 공통된 전술을 사용한다.

특히 방송사 작가를 사칭한 경우에는 초기 접촉 단계에서 악성 링크나 첨부 파일을 사용하지 않고, 자연스러운 이메일 대화를 통해 신뢰를 형성한 뒤 회신을 보낸 대상에게만 추가로 인터뷰 요청서를 위장한 악성 파일을 전달하는 방식이 사용됐다.

지니언스는 “방송사 작가 명의를 활용한 공격 시나리오는 2023년 6월 초부터 포착됐다”며 “당시에는 ‘북한이탈주민 초빙강의.zip’이라는 이름의 악성 압축파일이 유포된 바 있다”고 설명했다.

이어 “APT37과 같이 전략적 목적을 기반으로 활동하는 위협 행위자는 탐지되지 않은 침해 시도와 끈질긴 APT 공격, 초기 정찰 활동 등 은밀한 작전을 상당수 수행했을 가능성이 크다”고 강조했다.
 

Copyright © 강원도민일보. 무단전재 및 재배포 금지.