
국가배후 사이버 안보 위협군 APT37, 서울 콘퍼런스 자료집 사칭 피싱 메일 유포 북측 해킹조직으로 추정되는 사이버 범죄집단이 실제 학술 행사 개최 관련 정보를 활용해 국내 학계와 연구기관 관계자의 PC를 감염시키는 사례가 포착됐다. 13일 국내 보안 관련 컨설팅 업체인 지니언스 시큐리티 센터(GSC)에 따르면, 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자에게 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다. ◇북 해킹조직 추정 APT37, 북한인권단체 탈북민 대북분야 전문가 공격 대상 국가배후 사이버 안보 위협군으로 알려진 APT37은 우리나라를 상대로 다양한 사이버 첩보활동을 주도해왔다. 이들이 주요 공격 포인트로 삼는 대상은 북한인권단체, 탈북민, 북한취재 기자나 통일·국방·외교안보 및 대북 분야 전문가와 교수 등이다. APT37이 보낸 이메일 제목은 ‘왜 지금 원산갈마 관광인가?’이다. 해당 이메일에는 해당 행사를 공동 주최한 기관들이 자료집을 전달하는 것처럼 내용이 작성됐다. 발신자 역시 통일 분야 기업 관계자인 것처럼 위장했다. 허위 행사를 새로 만들어낸 것이 아니라 실제 공개된 행사명과 주제, 주최기관 등의 정보를 일부 도용했다는 점에서 수신자의 경계심을 낮추게 했다. 약 28메가바이트(MB) 크기의 PDF 자료집 위장 파일도 첨부됐다. 하지만 이를 클릭하면 클라우드 파일 공유 서비스 드롭박스에 접속해 ISO 이미지 파일을 내려받게 된다. ISO 파일 내부에는 ‘260612(자료집-내지)동북아-원산갈마해안.pdf.pif’라는 파일이 들어 있는데, 겉으로는 PDF 문서처럼 보이지만 실제 확장자는 프로그램을 실행할 수 있는 PIF 파일이다. 이는 윈도 운영체제에서 알려진 파일의 확장자가 기본적으로 숨겨질 수 있다는



























