AI 추천 뉴스
진짜 학술행사로 위장했다…연구자 노린 北 해킹
실제 ‘원산갈마 관광’ 행사정보 도용해 정상 메일 위장
실행파일에 RokRAT 변종…클라우드로 탐지망 우회
실행파일에 RokRAT 변종…클라우드로 탐지망 우회
13일 지니언스 시큐리티 센터에 따르면 공격자는 지난달 22일 연구·정책·학술 분야 종사자들에게 ‘왜 지금 원산갈마 관광인가?’ 학술행사 자료집을 보내겠다는 이메일을 발송했다.
해당 행사는 같은 달 12일 서울 코엑스에서 실제로 열린 컨퍼런스였다. 공격자는 행사명과 주최기관 정보를 도용하고 통일 분야 기업 관계자인 것처럼 발신자를 꾸며 정상적인 업무 메일로 위장했다.
이메일 속 드롭박스 링크를 누르면 PDF가 아닌 ISO 이미지 파일이 내려받아진다. 내부 실행파일을 열면 실제 행사 자료집이 화면에 나타나지만 백그라운드에서는 악성코드가 동시에 작동한다.
악성코드는 별도 프로세스를 만들지 않고 정상 프로세스 안에서 실행돼 감염 사실을 알아차리기 어렵다. 최종적으로 구동되는 파일은 감염 PC의 정보를 빼내고 원격 명령을 수행하는 RokRAT 변종으로 확인됐다.
이번 변종은 정상 클라우드 서비스를 명령제어 채널로 이용하고 구글 검색엔진 봇처럼 위장한 통신까지 활용해 보안망 탐지를 피하도록 설계됐다.
지니언스는 계정과 코드 구조, 클라우드 운용 방식 등이 기존 공격과 유사하다는 점에서 APT37의 소행일 가능성이 높다고 봤다. 정상 문서와 악성 파일을 하나의 실행파일에 숨긴 수법에는 ‘캡슐 은닉 작전’이라는 이름을 붙였다.
지니언스 측은 “실제 학술행사 정보를 악용한 사회공학 기법과 다단계 페이로드 구조를 결합해 탐지 회피 능력을 한층 강화했다”며 “침해지표(IoC) 기반 탐지와 함께 스피어피싱·클라우드 기반 통신 등 공격 전 과정을 연계해 탐지하는 행위 기반 대응 체계를 갖춰야 한다”고 밝혔다.
신현보 한경닷컴 기자 greaterfool@hankyung.com