티스토리 뷰
목차
🛡️ APT37 '아르테미스 작전' 경보: 한글(HWP) 문서와 스피어 피싱의 고도화
📌 아르테미스 작전(Operation Artemis) 핵심 요약
- 공격 주체: 북한 연계 해킹그룹 APT37(일명 RedEyes, Ricochet Chollima)이 수행.
- 주요 수법: 교수, 방송작가 등 신뢰도 높은 인물을 사칭한 스피어 피싱 이메일 발송.
- 기술적 특징: 한글(HWP) 문서 내 악성 OLE 개체 삽입 및 이미지에 파일을 숨기는 스테가노그래피 기법 활용.
- 탐지 회피: 정상 프로그램이 악성 DLL을 로드하게 만드는 DLL 사이드 로딩 기법으로 보안 프로그램을 우회.
Ⅰ. 신뢰를 파고드는 사회공학적 기만: 교수와 작가 사칭
최근 식별된 '아르테미스 작전'은 기술적 정교함 못지않게 인간의 심리를 이용한 사회공학적 기법이 두드러집니다. 북한 연계 해킹 그룹인 APT37은 특정 대학의 교수나 주요 방송사 작가를 사칭하여 타겟에게 접근했습니다. 특히 방송작가를 사칭한 경우, 처음부터 악성 파일을 보내지 않고 여러 차례 일상적인 대화를 주고받으며 신뢰를 쌓은 뒤 인터뷰 요청서로 위장한 한글 문서를 전달하는 치밀함을 보였습니다. 이는 보안 의식이 높은 전문가들조차 무력화시킬 수 있는 표적형 기만 전술의 전형입니다.
Ⅱ. 한글(HWP) 문서의 함정: 악성 OLE 개체와 하이퍼링크
공격의 핵심 매개체는 국내에서 널리 쓰이는 한글(HWP/HWPX) 문서였습니다. 공격자는 문서 내부에 외부 개체를 삽입할 수 있는 OLE(Object Linking and Embedding) 기능을 악용했습니다. 이 악성 OLE 개체는 단순한 하이퍼링크나 이미지처럼 보이지만, 사용자가 이를 클릭하거나 실행하는 순간 시스템 접근 권한을 탈취하는 악성 코드가 작동하게 됩니다. 문서의 내용이 국회 국제회의 초청장이나 북한 인권 관련 인터뷰지 등 매우 구체적이고 전문적이어서 수신자가 의심 없이 클릭하도록 유도했습니다.
Ⅲ. 은밀한 침투의 정수: 스테가노그래피 기법의 진화
APT37은 보안 솔루션의 눈을 피하기 위해 스테가노그래피(Steganography) 기법을 적극적으로 활용하고 있습니다. 스테가노그래피는 JPEG 등 일반적인 이미지 파일 내부에 악성 데이터를 암호화하여 숨기는 기술입니다. 이번 작전에서 발견된 RoKRAT 악성 모듈은 인물 사진이나 일상적인 이미지 파일 속에 은닉되어 전달되었으며, 이는 파일의 외형만으로는 악성 여부를 판단하기 매우 어렵게 만듭니다. 이러한 '은신 기법'은 기존의 시그니처 기반 보안 장비들을 무력화하는 강력한 수단이 되고 있습니다.
Ⅳ. 탐지 회피 전략: DLL 사이드 로딩과 시스템 악용
이미지에서 추출된 악성 페이로드는 DLL 사이드 로딩(DLL Side-Loading) 기법을 통해 실행 흐름을 완성합니다. 이는 윈도우 운영체제의 정상적인 시스템 유틸리티나 신뢰할 수 있는 응용 프로그램이 실행될 때, 같은 경로에 있는 조작된 악성 DLL 파일을 정상 라이브러리로 오인하여 로드하게 만드는 수법입니다. 정상 프로세스의 메모리 영역에서 악성 행위가 수행되기 때문에, 실행 중인 프로그램이 안전하다고 판단하는 일반적인 보안 프로그램의 감시망을 교묘하게 빠져나갈 수 있습니다.
Ⅴ. 고도화되는 APT 공격, 다층적 방어 체계의 필수성
지니언스 시큐리티센터는 이번 아르테미스 작전이 지난 8월부터 11월까지 4개월간 연속적으로 고도화되었다고 경고했습니다. APT37과 같은 위협 행위자들은 단발성 공격에 그치지 않고 초기 정찰부터 침투, 정보 탈취까지 끈질긴 APT(지능형 지속 위협) 활동을 전개합니다. 따라서 이메일 첨부파일 실행 시 발신자의 신원을 이중으로 확인하는 것은 물론, 행위 기반 탐지가 가능한 EDR(엔드포인트 탐지 및 대응) 솔루션 도입 등 다층적인 방어 전략이 필수적입니다. 한순간의 방심이 국가적 기밀이나 개인의 중요 자산 유출로 이어질 수 있음을 명심해야 합니다.