(서울=연합뉴스) 오지은 기자 = 북한과 연계된 APT37 해킹그룹이 한글(HWP) 문서 내부에 악성 파일을 삽입하는 '아르테미스 작전'이 포착됐다.

22일 지니언스 시큐리티센터는 APT37 그룹이 수행한 아르테미스 작전을 식별했다고 밝혔다.

앞서 지난 10월 미국의 북한 전문 매체인 38노스는 한글 문서가 북한의 사이버 공격 그룹의 주요 공격 대상으로 자리잡았다고 보도한 바 있다.

공격 전개 과정에서 초기 침투의 경우 타인을 사칭하는 스피어 피싱이 활용됐다.

스피어 피싱은 전달된 한글 문서를 매개로 이뤄졌고, 문서에 내장된 악성 OLE 개체가 실행되면서 사용자 환경에 대한 접근 권한을 확보했다.

(중략)

지난 8월 말 APT37그룹은 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송하며 사회적 신뢰도가 높은 특정 대학 교수의 신원을 사칭했다.

해당 이메일에는 '북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx' 파일이 첨부됐으며, 수신자의 관심 분야를 고려한 표적형 기만전술이 사용됐다.

이와 유사하게 APT37그룹은 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제와 인권 관련된 인터뷰를 요청하고 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 한글 문서를 전달한 사례도 있었다.

서로 다른 방송 프로그램에 소속된 두 명의 작가 이름이 도용됐는데 이는 피해자에게 사회공학적 신뢰를 유도한 것으로 풀이된다.

대학 교수나 방송사 작가를 사칭한 사례 외에도 특정 논평이나 행사 관련 문서를 위조한 사칭 공격 역시 다수 확인됐다.

이처럼 한글 문서를 활용한 공격은 문서 내부에 삽입된 OLE 개체를 하이퍼링크로 위장해 사용자가 직접 실행하도록 유도하는 전술을 사용한다.

특히 방송사 작가를 사칭한 사례의 경우 초기 접촉 단계에서는 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화로 신뢰를 형성한다.

이후 회신을 통해 반응을 보인 상대에게만 추가로 인터뷰 요청서를 위장한 악성파일을 전달한다.

기사전문

https://n.news.naver.com/article/001/0015808143?type=breakingnews&cds=news_edit