북한 해킹 조직 APT37이 한글 문서 파일(HWP·HWPX)에 악성 파일을 숨겨 배포하는 '아르테미스 작전'이 포착됐다.

지니언스 시큐리티 센터는 22일 북한 APT37 그룹이 수행한 '아르테미스' 작전 캠페인을 식별했다고 밝혔다.

이는 HWP 문서 내부에 악성 '개체 연결 및 포함'(OLE·Object Linking and Embedding) 개체를 은밀하게 삽입하는 방식이다. 사용자가 '스피어피싱'을 통해 전달된 문서를 신뢰하고 하이퍼 링크를 클릭하면 공격 체인이 시작되도록 설계됐다.

침투된 위협 요소는 '스테가노그래피'와 'DLL 사이드 로딩' 등 복합 기법을 활용해 실행 흐름을 은폐하고 보안프로그램의 탐지를 회피했다 스테가노그래피는 이미지파일에 악성파일을 숨기는 방식으로, 지난 8월에는 이전까지 보고된 적 없는 인물 사진도 공격에 활용한 것으로 확인됐다.


지니언스에 따르면 공격자는 수신자의 관심 분야를 고려한 표적형 기만 전술이 사용했다. 실제로 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송해 사회적 신뢰도가 높은 특정 대학 교수의 신원을 사칭한 것으로 확인됐다.

공개된 이메일은 '북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx' 파일이 첨부돼 있었다.

이뿐 아니라 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제 및 인권과 관련된 인터뷰를 요청하고, 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 HWP 문서를 전달한 사례도 있었고, 특정 논평이나 행사 관련 문서를 위조한 사칭 공격 역시 다수 발견됐다.

특히 일부 사례에서는 초기 접촉 단계에서는 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화를 통해 신뢰를 형성하는 수법도 활용한 것으로 조사됐다.

해킹 조직은 이에 회신한 대상에게만 '인터뷰 요청서'로 위장한 악성파일을 전달해 공격을 시도했다.

앞서 지니언스 시큐리티 센터는 사이버 위협 인텔리전스(CTI) 분석 보고서를 통해 APT37 그룹이 수행한 사이버 작전 사례들도 공개한 바 있다.

다만 "실제 외부에 공개되는 사례는 일부에 불과하다"며 "공개된 내용만으로 위험도를 판단할 경우, 공격 그룹의 실제 작전 범위·지속성·침투 능력을 정확히 파악하기 어렵다"고 경고했다.

이들은 EDR 기반 엔드포인트·행위 기반 탐지를 연동한 다층적 방어 체계△DLL 사이드 로딩 관련 의심 행위 탐지가 필수적이라며 △HWP, OLE 기반 실행체의 비정상 행위 모니터링 △클라우드 C2 연계된 엔드포인트 행동 탐지 등의 조치를 권고했다.



Kris@news1.kr