北 연계 사이버 범죄조직, 국내 학술행사 위장해 사이버 침투

국가배후 사이버 안보 위협군 APT37, 서울 콘퍼런스 자료집 사칭 피싱 메일 유포

북측 해킹조직으로 추정되는 사이버 범죄집단이 실제 학술 행사 개최 관련 정보를 활용해 국내 학계와 연구기관 관계자의 PC를 감염시키는 사례가 포착됐다.

13일 국내 보안 관련 컨설팅 업체인 지니언스 시큐리티 센터(GSC)에 따르면, 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자에게 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다.

◇북 해킹조직 추정 APT37, 북한인권단체 탈북민 대북분야 전문가 공격 대상

국가배후 사이버 안보 위협군으로 알려진 APT37은 우리나라를 상대로 다양한 사이버 첩보활동을 주도해왔다. 이들이 주요 공격 포인트로 삼는 대상은 북한인권단체, 탈북민, 북한취재 기자나 통일·국방·외교안보 및 대북 분야 전문가와 교수 등이다.

APT37이 보낸 이메일 제목은 ‘왜 지금 원산갈마 관광인가?’이다. 해당 이메일에는 해당 행사를 공동 주최한 기관들이 자료집을 전달하는 것처럼 내용이 작성됐다. 발신자 역시 통일 분야 기업 관계자인 것처럼 위장했다. 허위 행사를 새로 만들어낸 것이 아니라 실제 공개된 행사명과 주제, 주최기관 등의 정보를 일부 도용했다는 점에서 수신자의 경계심을 낮추게 했다.

약 28메가바이트(MB) 크기의 PDF 자료집 위장 파일도 첨부됐다. 하지만 이를 클릭하면 클라우드 파일 공유 서비스 드롭박스에 접속해 ISO 이미지 파일을 내려받게 된다. ISO 파일 내부에는 ‘260612(자료집-내지)동북아-원산갈마해안.pdf.pif’라는 파일이 들어 있는데, 겉으로는 PDF 문서처럼 보이지만 실제 확장자는 프로그램을 실행할 수 있는 PIF 파일이다. 이는 윈도 운영체제에서 알려진 파일의 확장자가 기본적으로 숨겨질 수 있다는 점을 악용한 이중 확장자 수법이다.

악성코드는 윈도 정상 프로세스인 ‘explorer.exe’ 내부에 악성 프로그램을 몰래 심는다. 별도의 수상한 프로세스를 생성하지 않고 정상 프로세스 안에서 실행해 이용자와 일부 보안 솔루션의 탐지를 피하려는 것이다.

최종적으로 실행되는 악성코드는 ‘RokRAT’ 변종으로 분석됐다. 감염된 PC의 운영체제 버전과 컴퓨터 이름, 사용자 계정, 실행파일 경로 등 시스템 정보를 수집하고 화면을 캡처할 수 있다. PC에 연결된 드라이브와 파일 목록을 확인하거나 엑셀·워드·파워포인트·PDF·한글 문서 등을 찾아 외부로 빼내는 기능도 갖췄다.

◇“공격 과정 탐지 가능한 행위 기반 대응 체계 강화 필요”

공격자는 일반적인 해킹 서버 대신 pCloud와 드롭박스, 얀덱스 클라우드 등 정상 클라우드 서비스를 해커의 명령을 전달하고 탈취한 정보를 받아가는 통로로 활용했다. 악성 트래픽을 정상 클라우드 통신으로 위장하고 특정 서비스나 인증정보가 차단되더라도 다른 서비스로 통신을 이어가기 위한 구조다.

악성코드의 코드 구조와 명령 처리 방식, 클라우드 통신 방식, 과거 공격에서 사용된 얀덱스 계정과 인증정보 등을 종합한 결과 공격자가 ‘APT37’일 가능성이 매우 높다고 지니언스는 평가했다. 지니언스의 한 관계자는 “정상 문서와 악성 프로그램을 하나의 실행파일 안에 함께 저장한 뒤 메모리에서 차례로 실행하는 방식은 향후 유사한 표적형 공격에도 계속 활용될 가능성이 높다”며 “공격 전 과정을 연계해 탐지할 수 있는 행위 기반 대응 체계를 강화할 필요가 있다”고 말했다.

구지훈 더나은미래 기자

관련 기사

Copyrights ⓒ 더나은미래 & futurechosun.com

댓글 작성

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


더나은미래 특별기획