“방송 작간데 인터뷰 좀”... 北 연계 해커의 치밀한 수법

방송사 작가를 사칭한 메일. /지니언스 시큐리티센터

북한과 연계된 APT37 해킹 그룹이 타인을 사칭한 뒤 악성코드가 심어진 한글(HWP) 문서를 전달하는 방식의 표적 공격을 하는 것으로 나타났다. 방송사 작가 등을 사칭해 상대가 안심할 수 있도록 한 뒤 악성코드가 담긴 메일을 의심 없이 열어 보도록 하는 것이다.

22일 지니언스 시큐리티센터에 따르면, 센터는 최근 APT37 그룹이 수행한 ‘아르테미스 작전’을 식별했다. 아르테미스 작전은 한글 문서 내부에 악성 파일을 삽입해 해킹 공격을 하는 것을 말한다.

공격 전개 과정에서 타인을 사칭해 특정 개인이나 조직을 표적으로 삼는 스피어 피싱(spear-phishing)이 활용됐다. 스피어 피싱은 대개 한글 문서를 매개로 이뤄졌다. 한글 문서를 열면 문서에 내장된 악성코드가 활성화되면서 APT37이 사용자 환경에 대한 접근 권한을 확보할 수 있게 되는 것이다. 이때 사진 파일 속에 악성코드를 숨겨 전달하는 스테가노그래피나, 정상 프로그램이 악성 DLL을 정상으로 착각해 불러 실행하게 하는 DLL 사이드 로딩 등 복합 기법을 활용해 실행 흐름을 은폐하고 보안 프로그램의 탐지를 회피했다.

지난 8월에는 특정 대학 교수의 신원을 사칭해 토론 참석을 요청하며 악성 파일을 전송하는 사례가 있었다. 당시 APT37은 “OO님이 부득이하게 참석이 어려워 긴급히 새로운 토론자를 모시게 됐다”며 토론 관련 자료로 착각할 만한 한글 파일 링크를 보내 다운로드를 유도했다. 토론 장소와 주제, 주최 등을 그럴싸하게 구체적으로 설명해 의심을 피했다. 수신자의 관심 분야를 고려한 표적형 기만 전술이 사용된 것이다.

특정 교수를 사칭한 메일. /지니언스 시큐리티센터

방송사 작가를 사칭한 메일. /지니언스 시큐리티센터

국내 주요 방송사 프로그램 작가를 사칭한 경우도 있었다. 북한 체제와 인권 관련 인터뷰를 요청하고 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 한글 문서를 전달하는 식이다. 이들은 특히 방송 주제와 일시 등을 상세하게 설명하며 회신을 유도했다. “바쁘시면 전화 인터뷰도 가능하다” 등의 말로 신뢰도를 높였다. 처음부터 악성 코드가 담긴 파일을 전송하는 것이 아니라 자연스러운 대화를 통해 신뢰를 형성해 파일 실행 확률을 높이는 것이다. 이런 수법은 2023년에도 포착된 바 있다. 당시 ‘북한이탈주민 초빙강의.zip’이라는 이름의 악성 압축파일이 유포됐다.

APT37은 지난 8~11월 4개월간 연속적으로 해킹 공격을 고도화한 것으로 나타났다. 특히 지난 8월부터는 이전까지 보고된 적 없는 인물 사진을 스테가노그래피 공격에 활용했다고 한다.

사진 파일 속에 악성코드를 숨겨 전달하는 스태가노그래피 샘플. /지니언스 시큐리티센터

지니언스는 “APT37의 활동은 다양한 위협 인텔리전스 보고서를 통해 반복적으로 식별되고 있으나, 언론 기사나 일부 자료를 통해 외부에 공개되는 사례는 실제 활동 규모의 일부분에 불과한 것으로 판단된다”며 “은밀하게 수행된 작전이 상당수 존재할 가능성이 높다”고 했다. 그러면서 “이러한 점에서 APT 공격을 수행하는 주요 국가 배후 위협 조직 활동에 대한 지속적인 모니터링과 위협 인식 제고는 필수적”이라고 했다.