학술행사 자료집 사칭 해킹…북한 배후 APT37 소행 가능성

IT/과학

뉴스1,

2026년 7월 13일, 오후 12:46


스피어피싱 이메일 화면(지니언스 시큐리티센터 제공)

북한 원산갈마 관광을 다룬 실제 학술행사 자료집으로 위장해 연구·정책 분야 종사자의 정보를 빼내는 표적형 해킹 공격이 포착됐다. 보안업계는 북한 정부의 지원을 받는 해킹조직 APT37의 소행일 가능성이 높은 것으로 분석했다.

지니언스 시큐리티센터는 13일 위협 분석 보고서를 통해 해당 공격을 확인하고 '오퍼레이션 캡슐 볼트'(Operation Capsule Vault)로 명명했다고 밝혔다.

공격자는 지난달 12일 서울 코엑스에서 열린 '왜 지금 원산갈마 관광인가?' 학술 콘퍼런스의 행사명과 주제, 주최기관 정보 등을 도용했다. 원산갈마는 북한 동해안의 관광개발 지역이다.

이후 지난달 22일 행사 자료집을 배포하는 것처럼 꾸민 스피어피싱 이메일을 발송했다. PDF 첨부파일처럼 표시된 항목을 누르면 클라우드 저장소 드롭박스에서 ISO 이미지 파일이 내려받아졌다.

ISO 파일 안에는 이름과 아이콘을 PDF처럼 꾸민 실행파일이 담겼다. 실제 확장자는 PIF였지만 윈도에서 파일 확장자가 표시되지 않으면 정상 PDF 문서로 오인하기 쉽도록 설계됐다.

파일을 실행하면 실제 행사 자료집이 화면에 나타난다. 이용자가 정상 문서를 열었다고 생각하는 사이 악성코드는 윈도 정상 프로세스인 'explorer.exe'에 삽입돼 백그라운드에서 작동한다.

미끼용 정상 문서가 실행된 모습(지니언스 시큐리티센터 제공)

실제 북한 관련 학술행사와 자료집을 그대로 미끼로 활용해 연구·정책 분야 관계자의 업무 맥락을 파고든 점이 이번 공격의 특징이다.

최종적으로 실행되는 악성코드는 원격제어 악성코드 '록랫'(RokRAT) 변종이다. 감염된 PC의 운영체제와 계정, 실행 중인 프로세스와 화면 정보를 수집하고 외부 명령을 수행한다.

엑셀·워드·파워포인트·한글·PDF 등 업무 문서를 선별해 빼낼 수 있으며 드롭박스와 피클라우드, 얀덱스 등 정상 클라우드 서비스를 명령제어 통신에 활용했다.

지니언스는 기존 록랫과의 코드 유사성, 동일한 클라우드 계정 사용 정황과 공격 수법 등을 종합해 APT37이 공격을 수행했을 가능성이 매우 높다고 평가했다.

APT37은 국제 보안업계에서 북한 정부 지원 사이버 첩보조직으로 분류되며, 록랫을 이용해 한국의 기관과 인물을 공격해 온 것으로 알려졌다.

지니언스는 악성파일 실행부터 정상 프로세스 침투, 외부 통신까지 공격 흐름을 추적해 차단하는 '엔드포인트 탐지·대응'(EDR) 체계를 강화해야 한다고 권고했다.

kxmxs4104@news1.kr

추천 뉴스