북한 해킹 조직 ‘APT37’이 북 인권·교육 분야 단체장 이름을 도용해 대북 사업가, 단체, 탈북민에게 접근한 뒤 컴퓨터에 저장된 음성 녹음 파일 등을 탈취하려 한 정황이 확인됐다.
지니언스 시큐리티 센터(GSC)가 23일 홈페이지에 공개한 위협 분석 보고서에 따르면 센터는 지난달부터 이달까지 APT37이 악성 MS워드 파일과 바로가기 파일(.lnk) 형식으로 이메일 공격을 시도한 정황을 다수 포착했다.
이메일에는 이력서처럼 꾸민 악성 파일 다운로드 링크가 포함돼 있었다. 공격 대상이 알고 있거나 호기심을 가질만한 주제를 미리 파악해 관련 키워드를 이메일 제목이나 본문 등에 써서 열어보기를 유도했다.
공격자는 바로가기 파일을 먼저 보내 1차 공격한 뒤 감염 신호가 확인되지 않으면 몇 시간 뒤 악성 워드 파일로 2차 공격을 시도하는 수법을 썼다.
공격에 쓰인 악성파일은 대체로 정보 탈취형 또는 원격 제어용이었지만 컴퓨터를 손상하는 파괴형 코드가 유포된 사례도 있었다.
공격 조직은 지메일, 네이버 등 무료 이메일 서비스를 쓰고 미국과 러시아의 공개된 클라우드 서비스에 가입해 명령 제어 서버로 활용하기도 했다.
보고서는 “해킹 조직 목적은 북한 정권에 유리한 첩보 입수”라며 “이메일 기반 스피어 피싱 공격을 주로 사용하지만, 안드로이드 스마트폰 이용자를 노린 표적 공격까지 다양한 전술을 구사한다”고 분석했다.
또 “스피어 피싱 공격에서 연결되는 클라우드 서버 내 악성파일 링크를 시차를 두고 정상 파일로 변경하는 교란술을 써서 조사 시점에 따라 공격 수법을 은폐하기도 한다”고 지적했다.
보고서는 “이전처럼 단순하고 전형적인 URL 연결 방식보다 바로가기 코드 내부에 악성 스크립트와 정상 문서를 별도로 내장해 현혹하는 등 공격이 보다 지능화되고 있다”며 “과거에 사용했던 악성파일 소스 코드를 관리한 뒤 실전에서 활용하는 경향도 목격된다”고 덧붙였다.
김주용 기자(jykim@scorep.net)
