안녕 Owen 이다.!
어이, 김 대리! 자네들 요즘 북한 해킹 조직들이 얼마나 교활해졌는지 알아? 'APT37'이라는 놈들이 '아르테미스 작전'이라는 걸 펼치면서, 이제는 국내 주요 대학 교수나 방송 작가까지 사칭해서 인터뷰 요청 피싱을 한다네!
한글 문서(HWP·HWPX) 파일에 악성 파일을 숨겨 배포하는 방식인데, 그 수법이 아주 치밀해! 수신자의 관심 분야를 고려한 표적형 기만 전술을 쓴다는 거야. 예를 들면, '북한 관련 국제 세미나'에 특정 교수님을 초청하는 것처럼 가장해서 악성 HWP 파일을 보낸다거나, 심지어 방송 작가라고 속여서 몇 차례 대화를 주고받으며 신뢰를 쌓은 뒤에 악성 파일을 던진다잖아!
자네, 딴 생각 말고 곽 부장의 쓴소리 잘 들어. '사회적 신뢰도가 높은 대상을 사칭하는 피싱'이 얼마나 무서운 결과를 낳는지, 그리고 '친숙한 HWP 문서' 안에 어떤 시한폭탄이 숨어 있을 수 있는지 뼈저리게 깨달아야 해!
이번 APT37의 '아르테미스 작전'은 '표적형 스피어피싱'**과 '은밀한 공격 기법'의 정수를 보여주고 있어.
교활한 표적형 스피어피싱: "교수·작가 사칭으로 신뢰부터 쌓는다!"
가장 위험한 건 공격자의 '사회공학적 기법'이야.
관심 분야 저격: 공격자는 수신자의 관심 분야와 밀접한 내용(예: 북한 인권 관련 국제 세미나 초청, 북한 관련 방송 인터뷰)으로 접근해서 의심을 줄여.
신뢰 형성 대화: 심지어 초기 접촉에서는 악성 파일 없이 자연스러운 대화를 통해 신뢰를 형성하고, 회신한 대상에게만 악성 HWP 문서를 전달하는 치밀함까지 보여! 친한 척 다가와서 뒤통수치는 격이지!
HWP 악용: 국내에서 널리 쓰이는 HWP 문서 내부에 악성 OLE(개체 연결 및 포함) 개체를 은밀하게 삽입해서, 사용자가 하이퍼링크를 클릭하면 공격이 시작되도록 설계했어. 우리가 익숙한 문서가 곧 독배인 셈이야!
은밀한 침투 기법: "이미지 속에 악성코드? 탐지 회피의 달인!"
침투된 위협 요소들이 보안 프로그램의 탐지를 회피하기 위해 사용하는 기술들도 만만치 않아.
스테가노그래피: 이미지 파일(JPEG) 내부에 악성 파일('RoKRAT' 악성코드)을 숨겨서 전달하는 방식이야. 지난 8월에는 인물 사진까지 공격에 활용했다는 게 확인됐어! 사진 한 장에 회사가 털릴 수 있다는 소리야!
DLL 사이드 로딩: 정상 프로그램(시스인터널스 유틸리티 등)을 로더로 악용해서, 같은 경로에 있는 조작된 악성 DLL 파일이 먼저 로드되도록 유도하는 방식이야. 공격 흐름이 메모리에서만 동작하는 '파일리스' 방식으로 구현되어 있어, 분석과 탐지가 매우 어렵다고!
클라우드 C2 악용: 명령제어(C2) 통신에 러시아 클라우드 플랫폼인 얀덱스 클라우드 API를 악용한 사례도 포착됐어. 별도 악성 서버 대신 대형 클라우드 서비스를 경유해서 보안 솔루션의 차단 정책을 우회하고 추적을 어렵게 하려는 의도야. '클라우드가 곧 백도어'가 될 수 있다는 경고라고!
전문가들의 경고와 우리의 자세: "방어 체계를 다층적으로 구축하고, HWP 문서는 의심부터 해!"
KISA와 지니언스 같은 보안 전문가들이 이번 취약점 공개 직후부터 "즉시 대응해야 한다"고 강력히 권고하고 있어.
다층적 방어 체계: EDR(엔드포인트 탐지 및 대응) 기반의 행위 기반 탐지를 연동하고, DLL 사이드 로딩 관련 의심 행위를 탐지해야 해. HWP, OLE 기반 실행체의 비정상 행위 모니터링과 클라우드 C2 연계된 엔드포인트 행동 탐지는 필수적이야!
HWP 문서 검증: 이제는 어떤 HWP 문서든 의심부터 해야 해! 출처가 명확하더라도, 첨부된 하이퍼링크나 매크로를 함부로 클릭하지 말고, 항상 보안 솔루션으로 먼저 검사하는 습관을 들여야 해!
보안은 '귀찮음'을 이겨내는 '의심'에서 시작된다! 알았지? 딴짓 말고, 오늘부터 우리 회사 문서 보안 시스템을 샅샅이 뒤져서 최신 위협에 대응할 수 있는지부터 확인해! 얼른 움직여!
