북한 정부의 지원을 받는 해킹조직 APT37이 한글(HWP)문서를 통해 국내를 해킹하는 작전이 포착됐다.
국내 정보보안 기업 지니언스 시큐리티센터는 22일 APT37의 ‘아르테미스 작전’을 식별했다고 밝혔다. 아르테미스 작전은 한글(HWP) 문서 내부에 바이러스를 심는 작전이다.
지난 10월 미국의 북한 전문 매체 38노스(38 North)는 북한의 사이버 공격 대상으로 한글 문서가 지목된다고 보도했다.
초기 침투 시 타인을 사칭하는 스피어 피싱이 활용됐다. 스피어피싱은 보통 금융기관이나 다른 공식 단체에서 보낸 메일로 위장해 개인정보를 불법적으로 악용하는 사기 수법이다.
침투 후 스테가노그래피을 비롯한 여러 기법들을 활용해 실행 흐름을 숨겼다. 스테가노그래피는 JPEG(이미지)파일에 악성코드 RoKRAT를 숨겨 전달하는 암호화 기법이다. 따라서 보안프로그램도 이를 탐지하지 못했다.
지난 7월부터 APT37은 스테가노그래피를 악용해 위 악성코드 모듈을 은밀하게 적재하고 있다.
지니언스에 따르면, 지난 8월부터는 이전에 보고된 적 없는 인물 사진을 공격에 활용하고 있기도 하다.
지난 8월 APT37은 국제회의 토론자 초청 요청서로 가장해 이메일을 발송했다. 그 이메일은 사회적 신뢰도가 높은 한 대학 교수 신원을 사칭했다.
이 이메일에는 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwptx’ 파일이 첨부됐다. 수신자의 관심 분야를 고려해 표적형 기만전술이 사용되기도 한다.
또 APT37은 국내 주요 방송사 프로그램 작가를 사칭해 북한 체제와 인권 관련된 인터뷰를 요청한다. 그리고 여러 차례 대화로 신뢰를 형성하고 악성 한글 문서를 전달한 사례도 있다.
어떤 경우에는 초기 접촉 단계에 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화로 신뢰를 형성한다. 이후 상대방이 회신을 통해 반응을 보이면 인터뷰 요청서로 위장한 악성파일을 전달한다.
박정원 인턴 기자 jason201477@hankyung.com
관련뉴스
