한글파일 열었더니 감염…北해킹 ‘아르테미스 작전’ 주의보

(지니언스 제공)

북한과 연계된 것으로 알려진 해킹그룹 ‘APT37’이 한글 문서 파일(HWP)에 악성 파일을 숨겨서 배포하는 일명 ‘아르테미스 작전’을 시행한 정황이 포착됐다.

22일 사이버 보안 기업 지니언스 시큐리티센터는 이러한 유형의 공격 정황을 식별했다고 밝혔다. 지니언스에 따르면 APT37은 수신자의 관심 분야를 고려해 지능적인 공격을 보였다. 특정 대학의 교수를 사칭하며 북한 인권에 관한 국회 토론에 토론자로 참여해달라며 이메일을 보내는가 하면, 국내 주요 방송사 작가를 사칭해 북한 인권과 관련된 인터뷰를 요청하며 대화로 신뢰를 쌓은 뒤 악성코드가 담긴 HWP 파일을 보내기도 했다.

피해자가 메일에 담긴 HWP 파일을 다운받아 문서 속에 첨부된 하이퍼링크를 클릭하면 피해자의 PC가 악성 파일에 감염되는 방식으로 해킹이 이뤄졌다. APT37은 피해자가 링크를 클릭할 때 파일 다운로드 등 정상적인 절차가 시행되는 것처럼 교묘히 꾸며 해킹 의심을 피한 것으로 나타났다. JPEG 이미지 내부에 악성파일을 숨겨 전달하는 ‘스테가노그래피’로 보안 프로그램의 탐지를 피하기도 했다.

(지니언스 제공)

지니언스는 “해킹 그룹이 교수나 작가 등 공신력 있는 기관의 전문가 명의를 도용했다”며 “보안 불감증을을 경계하는 도가 무엇보다 중요하다”고 밝혔다.