PDF 문서로 위장…악성코드 몰래 작동
北 배후 해킹조직 'APT37' 소행 추정

학술 컨퍼런스 자료집을 담은 이메일을 사칭해 관련 연구자를 노린 해킹 공격 사례가 발견됐다. 연구자들이 실제 자료집을 열람하면 악성코드가 몰래 실행되는 수법이다. 이 같은 공격은 북한의 배후 해킹 조직인 'APT37'의 소행일 가능성이 높다는 분석이 나온다.


13일 지니언스 시큐리티 센터에 따르면 최근 APT37로 추정되는 공격자가 원격 접근 트로이목마(RokRAT) 변종 악성코드를 유포한 정황이 확인됐다.

학술 컨퍼런스 자료집을 담은 이메일을 사칭한 공격 사례. 지니언스 시큐리티 센터

학술 컨퍼런스 자료집을 담은 이메일을 사칭한 공격 사례. 지니언스 시큐리티 센터

AD
원본보기 아이콘

센터에 따르면 공격자는 지난달 22일 연구·정책·학술 분야 종사자들에게 '왜 지금 원산갈마 관광인가?'라는 제목의 이메일을 발송했다. 같은 달 12일 서울 코엑스에서 열린 동명의 학술 콘퍼런스 자료집을 보내겠다는 내용이었다. 이메일은 실제 개최된 행사의 명칭과 주최기관 정보를 도용하고, 통일 분야 기업인 것처럼 꾸민 발신자 정보를 악용했다.


이메일에는 PDF 문서 자료집이 첨부된 것처럼 보이는 다운로드 링크가 포함됐다. 해당 링크를 클릭하면 ISO 이미지 파일이 내려받아지는데, 그 안에는 PDF 문서처럼 꾸민 실행파일이 담겨 있다. 파일을 실행하면 화면에는 실제 학술행사 자료집 문서가 표시되지만, 악성코드가 동시에 작동하는 식이다.

이 악성코드는 별도의 악성 프로세스를 생성하지 않고 정상 프로세스 내부에서 동작하기 때문에 사용자가 감염 사실을 알아채기 어렵고, 일부 보안 제품의 탐지도 우회할 수 있는 것으로 파악됐다.


최종 실행되는 악성코드는 RokRAT 변종으로 확인됐다. RokRAT은 APT37이 주로 활용하는 악성코드로, 감염 시스템의 정보를 탈취하고 원격 명령을 수행하는 기능을 갖추고 있다. 이번 변종은 네트워크 탐지망도 피할 수 있도록 설계됐다.


지니언스 시큐리티 센터는 이번 공격이 APT37의 소행일 가능성이 높다고 평가했다. 같은 계정을 쓰는 데다 코드 구조 등에서 APT37과 높은 유사성이 확인됐다는 설명이다.

AD

지니언스는 "실제 학술행사 정보를 악용한 사회공학 기법과 다단계 페이로드 구조를 결합해 탐지 회피 능력을 한층 강화했다"며 "침해지표(IoC) 기반 탐지와 함께 스피어피싱·클라우드 기반 통신 등 공격 전 과정을 연계해 탐지하는 행위 기반 대응 체계를 갖춰야 한다"고 조언했다.


학술 컨퍼런스 자료집을 담은 이메일을 사칭한 공격 사례.     모습. 시큐리티 센터

학술 컨퍼런스 자료집을 담은 이메일을 사칭한 공격 사례. 모습. 시큐리티 센터

원본보기 아이콘

이명환 기자 lifehwan@asiae.co.kr

<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제. 무단전재 배포금지, AI 학습 및 활용 금지>

함께 보면 좋은 기사

새로보기

내 안의 인사이트 깨우기

취향저격 맞춤뉴스

많이 본 뉴스

당신을 위한 추천 콘텐츠

놓칠 수 없는 이슈