한글파일 열면 감염… 국내 보안기업, 북한 해킹작전 포착

북한과 연계된 APT37 해킹그룹이 한글(HWP) 문서 내부에 악성 파일을 삽입하는 ‘아르테미스 작전’이 포착됐다.

22일 지니언스 시큐리티센터에 따르면 APT37 그룹이 수행한 아르테미스 작전이 식별됐다. 공격 전개 과정에서 초기 침투의 경우 타인을 사칭하는 스피어 피싱이 활용된 것으로 나타났다.

특히, 스피어 피싱은 전달된 한글 문서를 매개로 이뤄졌고 문서에 내장된 악성 개체 연결 삽입(OLE)이 실행되면서 사용자 환경에 대한 접근 권한을 확보했다. 침투된 위협 요소는 스테가노그래피와 DLL 사이드 로딩 등 복합 기법을 활용해 실행 흐름을 은폐하고 보안프로그램의 탐지를 회피했다.

스테가노그래피는 JPEG 이미지 내부에 ‘RoKRAT’ 악성 파일을 숨겨 전달하는 암호화 기법을 의미한다. APT37 그룹은 지난 7월부터 스테가노그래피 기법을 이용해 RoKRAT 모듈을 은밀하게 적재해왔다. 특히 지난 8월부터는 이전까지 보고된 적 없는 인물 사진을 공격에 활용했다.

DLL 로딩의 경우 마이크로소프트 시스템 관리 도구 모음의 시스템 유틸리티가 악용됐다. APT37 그룹은 실행 파일과 동일한 경로에 조작된 악성 DLL을 배치해 프로그램이 이를 정상 DLL로 오인해 로드하도록 유도했다고 지니언스 시큐리티센터는 설명했다.

APT37 그룹은 지난 8∼11월 4개월간 연속적으로 해킹 공격을 고도화했다. 지난 8월 말 APT37 그룹은 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송하며 사회적 신뢰도가 높은 특정 대학교수의 신원을 사칭했다. 해당 이메일에는 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’ 파일이 첨부됐다. 수신자의 관심 분야를 고려한 표적형 기만전술이 사용된 것이다.

이와 유사하게 APT37 그룹은 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제와 인권 관련된 인터뷰를 요청하고 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 한글 문서를 전달한 사례도 있다. 서로 다른 방송 프로그램에 소속된 두 명의 작가 이름이 도용된 것으로 파악됐다.

지니언스 시큐리티센터는 “APT37과 같이 전략적 목적을 기반으로 활동하는 위협 행위자는 탐지되지 않은 침해 시도, 끈질긴 APT 공격, 초기 정찰 활동 등 은밀하게 수행된 작전이 상당수 존재할 가능성이 크다”고 밝혔다.

이정민 기자