‘한글파일’ 열었더니 악성코드 감염…“북한 연계 해킹조직”

이휘빈 기자 2025. 12. 22. 18:33
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

평소 업무로 이메일 소통이 잦고 한글 파일 문서를 자주 공유한다면 주의해야 한다.

북한과 연계된 것으로 알려진 해킹 조직이 정교한 방식으로 첨부파일 중 한글(HWP) 파일로 해킹 공격을 시도한 사실이 드러났다.

국내 보안업체 지니언스 시큐리티센터(GSC)는 북한 해킹 조직인 'APT37'이 한글(HWP) 문서 내부에 악성 코드를 숨겨 유포하는 정황을 포착했다고 22일 밝혔다.

◆문서를 여는 순간 악성파일 잠복=사용자가 첨부된 한글 문서를 여는 것만으로도 해커는 컴퓨터에 침투할 준비를 마친다.

닫기
음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
북한 연계 해킹 그룹 ‘APT37’, 신종 작전 포착
친숙한 사람인 척 신뢰 쌓은 뒤 악성 파일 전달
공식 메일주소 확인, 수상한 링크 누르지 말아야

국내 보안업체 지니언스 시큐리티센터(GSC)에 따르면 북한과 연계된 것으로 알려진 해킹 조직이 정교한 방식으로 첨부파일 중 한글(HWP) 파일로 해킹 공격을 시도한 사실이 드러났다. 사진은 기사의 내용을 바탕으로 생성한 이미지. Chat GPT, Grok

국내 보안업체 지니언스 시큐리티센터(GSC)에 따르면 북한과 연계된 것으로 알려진 해킹 조직이 정교한 방식으로 첨부파일 중 한글(HWP) 파일로 해킹 공격을 시도한 사실이 드러났다. 사진은 기사의 내용을 바탕으로 생성한 이미지. Chat GPT, Grok

평소 업무로 이메일 소통이 잦고 한글 파일 문서를 자주 공유한다면 주의해야 한다. 북한과 연계된 것으로 알려진 해킹 조직이 정교한 방식으로 첨부파일 중 한글(HWP) 파일로 해킹 공격을 시도한 사실이 드러났다.

국내 보안업체 지니언스 시큐리티센터(GSC)는 북한 해킹 조직인 ‘APT37’이 한글(HWP) 문서 내부에 악성 코드를 숨겨 유포하는 정황을 포착했다고 22일 밝혔다. 이번 공격은 단순히 이메일을 무작위로 뿌리는 것이 아니라, 대상이 된 사람과 충분히 대화를 나누며 의심을 거둔 뒤 공격하는 치밀함을 보였다. 

◆혹시 이 방송 작가 아세요?”…‘사칭’ 전략=통칭 ‘아르테미스 작전’이라 불리는 이 해킹의 가장 큰 특징은 ‘선(先) 신뢰, 후(後) 공격’이다. 해커들은 처음부터 악성 파일을 보내지 않는다.

이들은 국내 주요 방송사의 작가나 사회적 지위가 있는 대학교수의 신분을 도용한다. 대상에게 접근해 외신 뉴스 채널 인터뷰를 요청하거나, 자문을 구한다며 자연스럽게 말을 건넨다.

지니언스 분석에 따르면, 해커들은 피해자와 여러 차례 이메일을 주고받으며 충분히 신뢰를 쌓는다. 상대방이 “이 사람은 진짜 방송 작가구나”라고 믿게 됐을 때, 혹은 인터뷰에 응하겠다는 반응을 보였을 때 비로소 악성 코드가 심어진 한글 문서를 보낸다. 심지어 신뢰도를 높이기 위해 서로 다른 프로그램에 소속된 두 명의 작가 이름을 도용하는 치밀함도 보였다.

지니어스 시큐리티센터가 공개한 해킹용 위장 파일. 지니언스 시큐리티센터

지니어스 시큐리티센터가 공개한 해킹용 위장 파일. 지니언스 시큐리티센터

  ◆“국회 세미나 토론 요청합니다”…맞춤형 미끼=올해 8월 국회 국제회의 토론자를 초청한다는 그럴듯한 이메일이 유포됐다. 첨부된 파일명은 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’였다. 평소 해당 분야에 관심이 있는 전문가라면 의심 없이 열어볼 수밖에 없는 제목이다.

이 외에도 북한이탈주민 초빙 강의 자료나 특정 행사 관련 문서를 위조해 피해자의 전문 분야와 관심사에 딱 맞춘 ‘표적형 기만전술’을 사용했다.

사용자가 첨부된 한글 문서를 여는 순간, 가짜 링크와 그림파일, 위장된 프로그램이 잠복할 수 있다. 사진은 기사의 특정 사실과 관련 없음. 클립아트코리아

사용자가 첨부된 한글 문서를 여는 순간, 가짜 링크와 그림파일, 위장된 프로그램이 잠복할 수 있다. 사진은 기사의 특정 사실과 관련 없음. 클립아트코리아

◆문서를 여는 순간 악성파일 잠복=사용자가 첨부된 한글 문서를 여는 것만으로도 해커는 컴퓨터에 침투할 준비를 마친다.

1단계는 가짜 링크 클릭 유도다. 해커는 문서 내부에 ‘OLE 개체’라는 기능을 악용해 악성 명령을 심어둔다. 겉보기에는 평범한 문서 내용이나 하이퍼링크처럼 보이지만, 사용자가 이를 클릭하는 순간 악성 코드가 실행돼 해커가 사용자 컴퓨터 권한을 탈취하게 된다.

2단계는 그림 속에 숨은 ‘스테가노그래피’ 수법이다. 이는 평범해 보이는 JPEG 이미지 파일 안에 악성 암호를 몰래 숨겨놓는 방식이다. 겉으로는 단순한 인물 사진처럼 보이지만, 그 안에는 정보를 빼내 가는 악성 코드인 ‘RoKRAT(로크랫)’ 모듈이 숨겨져 있다. 지난 8월부터는 기존에 보고된 적 없는 새로운 인물 사진이 범행 도구로 사용되기도 했다.

마지막으로 해커는 ‘DLL 사이드 로딩’ 기법을 이용해 자신들의 악성 파일을 정상적인 프로그램인 것처럼 위장한다. 윈도우 시스템 관리 도구 같은 정상 프로그램이 실행될 때, 해커가 조작해 둔 악성 파일(DLL)을 마치 자신의 부속품인 것처럼 착각하게 만들어 함께 실행시키는 원리다.

◆공식 메일 확인하고 보안 수칙 지켜야=지니언스 시큐리티센터는 이번 공격을 주도한 APT37 그룹이 작년 여름부터 수개월간 공격 방식을 계속해서 고도화하고 있다고 분석했다. 특히 방송사 작가 등을 사칭하는 시나리오는 작년 6월 초부터 꾸준히 관찰되어 온 수법이다.

지니언스 관계자는 “이들은 전략적인 목적을 가지고 움직이기 때문에, 아직 우리가 발견하지 못한 은밀한 침투 시도가 훨씬 많을 것”이라고 경고했다.

이를 막기 위해서는 아는 이름의 작가나 교수에게 메일이 왔더라도, 보낸 사람의 메일 주소가 공식 계정이 맞는지 반드시 확인해야 한다.

또 보안프로그램을 최신버전으로 업데이트하고, 실시간 감시 기능을 활성화해야 한다. 아울러 의심스러운 웹사이트 방문과 링크 접속은 피해야 한다.

Copyright © 농민신문. 무단전재 및 재배포 금지.