실시간 뉴스



북 해킹조직 '김수키' 제재하자마자 또 다른 조직 활개…'APT37'은 누구?


2012년부터 활동…'금성121' '레드아이즈' '그룹123' 등으로 불려
"바로가기 코드 내부에 악성 스크립트·정상 문서 별도 삽입"

[아이뉴스24 김혜경 기자] 최근 정부가 해킹조직 '김수키(Kimsuky)'를 대북 독자제재 대상으로 지정한 가운데 또 다른 북한 연계 해커집단인 'APT37'이 활개를 치고 있어 주의가 요구된다. MS 워드와 한컴 오피스, 바로가기 파일 형식으로 위장한 악성코드를 유포하는 것이 특징이다.

지난 2일 정부가 해킹조직 '킴수키(Kimsuky)'를 대북 독자제재 대상으로 지정한 가운데 또 다른 북한 연계 해커집단인 'APT37'이 최근 활개를 치고 있어 주의가 요구된다. [사진=픽사베이]
지난 2일 정부가 해킹조직 '킴수키(Kimsuky)'를 대북 독자제재 대상으로 지정한 가운데 또 다른 북한 연계 해커집단인 'APT37'이 최근 활개를 치고 있어 주의가 요구된다. [사진=픽사베이]

4일 보안업계에 따르면 지난 4월부터 지난달까지 지니언스 시큐리티센터(GSC)는 이들 조직의 공격 시도 정황을 다수 포착했다. APT37은 '금성121’, '레드아이즈(RedEyes)', '그룹123', '리퍼(Reaper)' 등으로 불린다. 2012년부터 활동을 시작했으며 한국의 정부‧공공기관을 비롯해 금융, 미디어, 산업 등 민간 영역을 가리지 않고 광범위한 사이버 공격 활동을 수행하고 있다.

GSC는 "APT37은 이메일 기반 스피어 피싱 공격을 주로 사용하지만 웹 기반의 워터링 홀 공격이나 소셜미디어, 토렌트 사이트를 이용한 무작위 침투, 안드로이드 스마트폰 이용자를 겨냥한 공격까지 다양한 기법을 구사한다"고 분석했다. 워터링 홀이란 해커가 공격 대상 정보를 수집해 웹사이트를 감염시킨 후 접속을 기다리는 수법이다.

GSC에 따르면 최근 APT37은 한 대북사업 대표에게 북한 인권 관련 특정 단체장의 명의를 사칭한 피싱 메일을 발송했다. 이메일 본문에는 이력서 파일로 위장한 악성파일 다운로드 링크가 삽입됐다.

'이력서 모음.zip'이라는 압축파일 내부에는 HWP 형태의 정상적인 문서파일과 악성파일인 '임원이력서-김**.lnk'가 포함됐다. 이중 HWP 파일은 악성코드가 포함되지 않은 일종의 미끼 문서다. 탈북민 관련 단체에 지원하는 내용의 이력서로 단체장을 공격하기 위한 맞춤형 공격인 셈이다.

미끼 파일로 사용된 HWP 문서 실행 화면. [사진=지니언스 시큐리티센터]
미끼 파일로 사용된 HWP 문서 실행 화면. [사진=지니언스 시큐리티센터]

GSC는 "바로가기(LNK) 파일을 이용한 공격은 전혀 새로운 공격 기법은 아니다"며 "다만 과거처럼 전형적인 URL 연결 방식보다 바로가기 코드 내부에 별도의 악성 스크립트와 정상 문서를 별도 포함해 피해자를 속인다는 점은 지능화된 기법이라고 전했다.

또 다른 특징은 바로가기 파일을 이용한 1차 공격 이후 2차 공격이 이어졌다는 점이다. 공격자는 감염신호가 확인되지 않자 몇 시간 후에 악성 DOC 파일을 전달한 것으로 나타났다. GSC는 "파일명은 특정 인물의 실명으로 추정되는 이름"이라며 "파일 상단의 '콘텐츠 사용' 버튼을 클릭할 경우 추가적인 악성코드 멍령이 실행되는 방식"이라고 분석했다.

안랩도 최근 한컴오피스 문서파일로 위장한 악성코드를 포착했다. 파일 제목은 '누가, 무엇이 세계를 위협하는가(칼럼).exe'다. 안랩은 "공격자는 사용자를 속이기 위해 악성파일 아이콘을 한컴오피스 파일과 유사한 형태로 제작했다"고 전했다.

한편 국가정보원이 2020~2022년 발생한 북한발 사이버 공격 유형을 분석한 결과 전체의 74%는 해킹 메일로 나타났다. 이어 ▲취약점 악용(20%) ▲워터링 홀(3%) ▲공급망(2%) 등의 순으로 집계됐다.

/김혜경 기자(hkmind9000@inews24.com)








alert

댓글 쓰기 제목 북 해킹조직 '김수키' 제재하자마자 또 다른 조직 활개…'APT37'은 누구?

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스