[ⓒ지니언스시큐리티센터]

[디지털데일리 김보민기자] 북한 배후 해킹조직으로 알려진 'APT37'의 위협 방식이 교묘해지고 있는 것으로 나타났다. 현직 대학 교수로 위장한 뒤 메일을 통해 악성파일을 유포하거나, 회신을 유도해 후속 공격이 가능하도록 하는 모습이 두드러지고 있다.

10일 지니언스시큐리티센터(GSC) 보고서에 따르면 APT37 그룹은 한국을 상대로 사이버 첩보 활동을 주도하고 있다. 공격 대상을 살펴보면 북한 인권단체를 비롯해 탈북민, 북한 취재 기자, 통일·국방·외교안보·대북 분야 전문가와 교수 등이 대다수였다. 특히 북한 인권 단체를 사칭하거나 맥OS 이용자를 공격하는 방식을 택해왔다.

지난 4월 발견된 사례에 따르면, 공격 그룹은 특정 공직자 출신 신분의 현직 대학교수 명의로 발송한 것처럼 메일을 보냈다. 이메일 제목은 '4월 북한 동향'으로 적었고, 본문에는 '일람해 보시고 의견 주시면 감사하겠습니다'는 문구가 담겨 있었다.

첨부파일에는 '북한동향'이라는 이름의 워드 문서가 포함된 것처럼 돼 있었지만, 실제 이 파일은 이메일에 직접 첨부된 형태가 아니었다. 국내 포털사 도메인과 흡사하게 만들어진 주소에 악성파일을 더한 형태였다. GSC는 "이곳을 통해 다운로드된 압축 내부의 파일은 전형적인 바로가기 유형의 악성코드"라고 설명했다.

바로가기 파일 내부에는 이용자를 속이기 위한 정상 문서와, 파워셸 커맨드 명령이 포함돼 있었다. 정상 문서의 경우 '평안남도 평성 옥전종합시장 물가 동향'과 같은 실제 북한의 4월자 정보가 담겨 있었다. 반면 바로가기 파일은 암호화된 악성 모듈을 숨기고 있었고, 이용자 단말에서 문서와 스마트폰 녹음파일 확장자를 검색 수집하는 기능도 포함돼 있었다.

GSC는 지난 4월 다수의 바로가기 파일에 의해 악성 모듈이 유포됐다고 진단했다. 발견된 파일명으로는 '설비목록', '동북공정', '국가정보 아카데미 8기 통합과정 수료증(최종본)' 등이 있었다. 위협 행위자는 구글 지메일 계정을 이용해 클라우드 서비스에 가입하는 움직임도 보였다.

GSC는 보고서를 통해 "국가배후 해킹 그룹의 사이버 위협은 고도화되는 추세"라며 "실제 접근 기록이 확인된 이번 APT37 인프라를 통해 위협 행위자들의 지능적인 정찰 활동이 식별됐다"고 말했다. 이어 "기관과 기업은 최신 사이버 위협의 동향을 파악하고, 기술적 공격 난이도에 따른 인사이트 습득이 필요하다"고 제언했다.