한글파일 열었더니 감염…북한 해킹 ‘아르테미스’ 포착

북한과 연계된 APT37 해킹그룹이 한글(HWP) 문서 내부에 악성 파일을 삽입하는 '아르테미스 작전'이 포착됐습니다.

보안업체 지니언스 시큐리티센터는 APT37 그룹이 수행한 아르테미스 작전을 식별했다고 오늘(22일) 밝혔습니다.

공격 전개 과정에서 초기 침투의 경우 타인을 사칭해, 특정인의 개인정보를 빼내는 '스피어 피싱'이 활용됐습니다.

스피어 피싱은 전달된 한글 문서를 매개로 이뤄졌고, 문서에 내장된 악성 OLE(Object Linking and Embedding, 개체 연결 및 포함)개체가 삽입 후 실행되면서 사용자 환경에 대한 접근 권한을 확보했습니다.

침투된 위협 요소는 '스테가노그래피'와 'DLL 사이드 로딩' 등 복합 기법을 활용해 실행 흐름을 은폐하고 보안프로그램의 탐지를 회피했습니다.

특히 지난 8월부터는 이전까지 보고된 적 없는 인물 사진을 공격에 활용했다고 지니언스는 전했습니다.

APT37그룹은 실행 파일과 동일한 경로에 조작된 악성 DLL을 배치해 프로그램이 이를 정상 DLL로 오인해 로드하도록 유도했습니다.

이후 APT37그룹은 지난 8~11월 4개월간 연속적으로 해킹 공격을 고도화했습니다.

지난 8월 말 APT37그룹은 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송하며 사회적 신뢰도가 높은 특정 대학 교수의 신원을 사칭했습니다.

또 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제와 인권 관련된 인터뷰를 요청하고 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 한글 문서를 전달한 사례도 있었습니다.

앞서 지난 10월 미국의 북한 전문 매체인 38노스는 한글 문서가 북한의 사이버 공격 그룹의 주요 공격 대상으로 자리잡았다고 보도한 바 있습니다.

[사진 출처 : 연합뉴스 / 지니언스 제공]

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

황정호 기자 (yellowcard@kbs.co.kr)