스태가노그래피 샘플. 지니언스 제공

한글(HWP) 문서를 열기만 해도 악성코드에 감염되는 북한 연계 해킹 공격이 확인됐다. 교수나 방송작가를 사칭해 신뢰를 쌓은 뒤 악성 문서를 보내는 정교한 수법이다.

사이버 보안 기업 지니언스 시큐리티센터는 22일 북한과 연계된 해킹 조직 APT37이 수행한 ‘아르테미스 작전’을 식별했다고 밝혔다. 이 작전은 한글 문서 파일(HWP·HWPX) 내부에 악성 파일을 숨겨 배포하는 방식이 핵심이다.

공격은 주로 ‘스피어 피싱’으로 시작됐다. 공격자는 특정 대학교 교수나 국내 주요 방송사 프로그램 작가를 사칭해 이메일이나 메신저로 접근했다. 국회 국제회의 토론자 초청, 북한 인권 관련 인터뷰 요청 등 수신자의 관심사를 정교하게 파고드는 내용으로 신뢰를 쌓은 뒤, 관련 문서라며 한글 파일을 전달했다.

문제의 파일을 열고 문서 안에 포함된 링크를 클릭하는 순간 공격이 시작된다. 문서에 숨겨진 악성 개체(OLE)가 실행되면서 공격자는 피해자의 PC 환경에 접근할 수 있는 권한을 확보한다. 외형상 정상적인 문서 열람 과정과 다르지 않아 사용자가 이상 징후를 느끼기 어렵다는 게 보안업계 설명이다.

악성코드는 이후 흔적을 최대한 숨긴 채 작동한다. 이미지 파일 안에 악성코드를 감춰 전달하는 ‘스테가노그래피’ 기법을 사용해 보안 프로그램의 탐지를 피했고, 정상 프로그램이 악성 파일을 정상 구성 요소로 착각해 불러오도록 만드는 ‘DLL 사이드 로딩’ 방식도 함께 활용했다. 지니언스에 따르면 APT37은 JPEG 이미지에 ‘RoKRAT’이라는 악성 모듈을 숨겨 전달해 왔으며, 최근에는 이전에 보고되지 않았던 인물 사진까지 공격에 이용했다.

공격 시나리오. 지니언스 제공

특히 일부 사례에서는 초기 접촉 단계에서 악성 링크나 파일을 전혀 사용하지 않고, 여러 차례 자연스러운 대화를 통해 신뢰를 쌓은 뒤에야 악성 문서를 보내는 방식도 확인됐다. 보안 전문가들이 “사람의 심리를 정밀하게 노린 사회공학적 공격”이라고 평가하는 이유다.

지니언스는 “실제로 외부에 드러나는 공격 사례는 일부에 불과하다”며 “공개된 정보만으로 위험도를 판단하면 공격 조직의 실제 활동 범위와 침투 능력을 과소평가할 수 있다”고 경고했다. 이어 △한글 문서와 OLE 실행 과정에 대한 이상 행위 모니터링 △DLL 사이드 로딩 의심 행위 탐지 △엔드포인트 보안(EDR)과 행위 기반 탐지를 연동한 다층 방어 체계 구축이 필요하다고 권고했다.

보안업계 관계자는 “출처가 불분명한 한글 문서는 열지 않는 것이 최선의 방어”라며 “특히 인터뷰 요청이나 행사 초청처럼 그럴듯한 명분을 앞세운 파일일수록 각별한 주의가 필요하다”고 말했다.