한글(HWP) 문서를 열 경우 악성코드에 감염되는 북한 연계 해킹 공격이 국내에서 확인됐다. 교수와 방송사 작가 등을 사칭한 표적 피싱과 문서 내부에 악성 파일을 숨기는 고도화된 수법이 동원된 것으로 나타났다.
보안업체 지니언스 시큐리티센터는 북한과 연계된 해킹 조직 APT37이 한글 문서에 악성 개체를 삽입하는 이른바 '아르테미스 작전'을 수행한 정황을 식별했다고 22일 밝혔다.
지니언스에 따르면 공격자는 이메일을 통해 한글 문서를 전달한 뒤, 문서 안에 포함된 악성 OLE 개체가 실행되도록 유도해 사용자 시스템 접근 권한을 탈취했다. 초기 침투 단계에서는 특정 인물이나 기관을 사칭하는 스피어 피싱 방식이 활용됐다.
감염 이후에는 탐지를 피하기 위한 은폐 기법이 사용됐다. JPEG 이미지 내부에 악성 파일을 숨기는 스테가노그래피 기법과 정상 프로그램을 가장한 DLL 사이드 로딩 방식이 함께 적용됐다. 이미지에는 정보 탈취용 악성코드인 RoKRAT 모듈이 숨겨진 것으로 분석됐다.
지니언스는 APT37이 지난해 여름 이후 수개월간 공격 방식을 연속적으로 고도화해왔다고 설명했다. 실제로 특정 대학 교수나 국내 주요 방송사 작가의 신원을 도용해 장기간 대화를 이어가며 신뢰를 쌓은 뒤, 최종 단계에서만 악성 한글 문서를 전달한 사례도 확인됐다는 것이다.
지니언스는 "방송사 작가 명의를 활용한 공격 시나리오는 이전부터 지속적으로 관찰돼 왔다"며 "전략적 목적을 가진 위협 행위자의 특성상 아직 드러나지 않은 침투 시도도 상당수 존재할 가능성이 높다"고 밝혔다.