북한과 연계된 해킹 조직 APT37이 한글 문서(HWP)를 악용한 표적 공격을 벌여온 정황이 확인됐다. 보안업계는 해당 캠페인을 ‘아르테미스 작전’으로 명명했다.
보안업체 지니언스 시큐리티센터는 22일 APT37이 한글 문서 내부에 악성 OLE 개체를 삽입해 실행을 유도하는 공격 흐름을 식별했다고 밝혔다. 사용자가 문서를 열고 하이퍼링크로 위장된 개체를 실행하면 초기 침투가 이뤄지고, 이후 추가 악성 행위가 단계적으로 전개되는 방식이다.
이번 공격은 교수와 방송사 작가를 사칭하는 스피어 피싱이 핵심 전술로 사용됐다. 사회적 신뢰도가 높은 인물의 신원을 도용해 이메일과 대화를 이어가며 신뢰를 쌓은 뒤, 관심 분야를 반영한 초청장·인터뷰 요청서 형태의 한글 파일을 전달했다. 초기 접촉 단계에서는 악성 링크나 첨부를 사용하지 않고, 반응이 확인된 대상에게만 악성 문서를 보내는 점이 특징이다.
기술적으로는 스테가노그래피와 DLL 사이드 로딩 등 복합 기법이 동원됐다. JPEG 이미지 내부에 악성 모듈을 숨겨 전달해 탐지를 회피했고, 마이크로소프트 시스템 유틸리티를 악용한 DLL 사이드 로딩으로 정상 파일처럼 위장해 실행 흐름을 은폐했다. 악성 모듈로는 RoKRAT 계열이 확인됐다.
공격은 올해 8월부터 11월까지 수개월에 걸쳐 고도화됐다. 국회 국제회의 토론자 초청을 가장한 문서, 북한 체제·인권 관련 인터뷰 요청 등 주제 맞춤형 기만전술이 반복적으로 사용됐다. 서로 다른 방송 프로그램 소속 작가 이름을 도용하는 등 사회공학적 신뢰 유도도 병행됐다.
보안업계는 한글 문서가 국내 사용자 환경에서 신뢰도가 높다는 점을 노린 공격이 지속될 가능성을 경고했다. 지니언스는 전략적 목적을 가진 APT 행위자의 특성상 미탐지 침투와 장기 정찰이 병행됐을 가능성이 높다며, 출처 불명 문서 실행 자제와 보안 업데이트, 메일 보안 강화 등을 권고했다.
About the Author
