
최근 실제로 개최된 학술행사의 세부 정보를 정밀하게 조준해 관련 연구자들과 전문가들의 심리를 교묘하게 파고든 정교한 해킹 공격이 포착됐다.
보안기업 지니언스의 분석 결과에 따르면 지난 6월 서울 코엑스에서 열린 대북 관광 관련 세미나의 실제 명칭과 장소가 이번 범행의 미끼로 고스란히 악용됐다.
공격자는 해당 행사가 끝난 지 정확히 열흘이 지난 시점에 관련 연구자와 정책 관계자들을 타깃으로 실제 행사 자료집을 전달하는 듯한 위장 메일을 발송했다.
존재하지 않는 가짜 이벤트를 급조하던 기존 방식과 달리 포털 검색으로도 진위가 확인되는 실제 행사를 내세웠다는 점에서 피해자들은 의심 없이 메일을 신뢰했다.
진짜 자료집 밑에 숨겨진 악성코드와 클라우드 방어망 우회

수신자가 메일에 첨부된 드롭박스 링크를 클릭하면 압축 파일 형태인 아이에스오(ISO) 파일이 사용자 피시(PC)로 즉시 다운로드된다.
다만 단순히 해당 링크를 누르거나 위장 파일을 내려받는 단계만으로는 악성코드에 자동 감염되거나 시스템이 곧바로 마비되는 현상이 일어나지는 않는다.
이용자가 다운로드된 파일 내부에서 피디에프(PDF) 문서처럼 정교하게 외형을 꾸며놓은 실행파일(PIF)을 진짜 자료집으로 착각해 직접 실행해야 공격이 작동한다.
문제의 파일이 실행되면 화면에는 실제 세미나 발표 자료가 정상적으로 출력되기 때문에 사용자는 해킹에 노출되었다는 사실을 전혀 인지하지 못하게 된다.

사용자가 안심하고 화면에 뜬 자료를 읽는 사이 컴퓨터 백그라운드에서는 악성코드인 록랫(RokRAT) 변종이 소리 없이 복원되어 활동을 개시한다.
메모리에서 복원된 악성코드는 윈도우의 정상 프로세스인 익스플로러(explorer.exe)에 교묘히 주입되어 내부 보안 프로그램의 감시망을 완벽하게 우회한다.
특히 해커가 명령을 주고받는 과정에서 피클라우드나 드롭박스, 얀덱스 같은 정상적인 글로벌 클라우드 서비스가 명령제어 통로로 활용된 정황이 함께 파악됐다.
코드 유사성을 토대로 북한 연계 조직인 에이피티37(APT37)의 소행일 가능성이 매우 높다는 분석이 나왔으나 이것이 정부 차원의 법적 확정을 의미하지는 않는다.
단 한 번의 실행이 불러오는 연쇄 손실과 단계별 다층 방어망

이번 침해 사고로 인한 정확한 감염자 수나 내부 문서의 유출 규모, 구체적인 금전적 피해액은 현재까지 외부에 명확하게 공개되지 않았다.
그러나 단 한 번의 오인 실행으로도 의심 단말기를 즉각 격리하고 포렌식 조사를 벌이며 계정을 초기화하는 과정에서 조직 전체의 추가 비용 발생은 불가피하다.
이를 막으려면 사내 메일함 전체에서 해당 메일을 찾아 격리하고 정상 프로세스에 침투한 코드나 비정상적인 클라우드 통신 로그를 대조하는 정밀한 추적이 뒤따라야 한다.
보안 투자 역시 단일 장비 도입에만 의존하기보다 파일 실행 단계의 차단 정책을 수립하고 임직원 훈련을 유기적으로 연결해야 실제 위험 행동을 예방할 수 있다.



















