뉴스1
[서울경제]
북한 해킹 조직 APT37이 한글 문서(HWP·HWPX) 안에 악성 코드를 숨겨 유포하는 정황이 포착됐다. 보안업체 지니언스는 이 공격을 ‘아르테미스 작전’으로 부르며, 이메일로 문서를 보내 클릭을 유도하는 표적 공격(스피어피싱) 형태라고 설명했다.
22일 지니언스 시큐리티 센터는 APT37이 수행한 아르테미스 작전 캠페인을 식별했다고 밝혔다. 공격 방식의 핵심은 한글 문서 내부에 OLE(개체 연결 및 포함) 객체를 몰래 삽입해 두는 것이다. 사용자가 스피어피싱으로 받은 문서를 믿고 문서 안의 하이퍼링크를 클릭하는 순간 공격이 시작되도록 설계됐다.
지니언스에 따르면 해커는 탐지를 피하기 위해 여러 기술을 섞었다. 예를 들어 스테가노그래피(이미지 파일에 악성 파일을 숨기는 방식), DLL 사이드 로딩(정상 DLL 로딩 과정에 악성 코드를 끼워 실행하는 기법) 등을 활용해 실행 흐름을 숨기고 보안 프로그램의 탐지를 회피했다. 지니언스는 지난 8월에는 이전까지 보고된 적 없는 인물 사진도 공격에 활용된 것으로 확인됐다고 밝혔다.
이번 작전에서는 ‘누구에게 어떤 내용이 먹힐지’를 계산한 표적형 기만 전술도 확인됐다. 지니언스는 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 보내면서, 사회적 신뢰도가 높은 특정 대학교수의 신원을 사칭한 사례를 공개했다. 해당 이메일에는 ‘북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx’ 파일이 첨부돼 있었다.
또 다른 사례로는 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제·인권 관련 인터뷰를 요청하고, 여러 차례 대화를 주고받으며 신뢰를 쌓은 뒤 악성 HWP 문서를 보내는 방식도 있었다. 특정 논평이나 행사 관련 문서를 위조해 보내는 사칭 공격 역시 다수 발견됐다고 했다.
특히 일부 사례에서는 처음부터 링크나 첨부파일을 보내지 않았다. 자연스러운 대화로 먼저 신뢰를 형성한 뒤, 응답한 사람에게만 ‘인터뷰 요청서’로 위장한 악성 파일을 전달해 공격을 시도한 것으로 조사됐다.
지니언스는 “외부에 공개되는 사례는 일부에 불과하다”며 “공개된 내용만으로 위험도를 판단하면 공격 그룹의 실제 작전 범위·지속성·침투 능력을 정확히 파악하기 어렵다”고 경고했다.
대응책으로는 △EDR 기반 엔드포인트·행위 기반 탐지를 연동한 다층 방어 체계 △DLL 사이드 로딩 관련 의심 행위 탐지 △HWP·OLE 기반 실행의 비정상 행위 모니터링 △클라우드 C2와 연계된 엔드포인트 행동 탐지 등을 권고했다.
