오픈뉴스백과
세계의 오늘한국의 오늘라이브둘러보기뉴스ONP 브리핑
뉴스로 배우기커뮤니티회사학술과학정부용어사전피드 제보내 편향
...

오픈뉴스백과

집단지성 기반 뉴스 검증 플랫폼. 다양한 시각으로 뉴스를 이해합니다.

서비스

세계의 오늘한국의 오늘라이브뉴스정부과학학술용어사전소개

법적 고지

개인정보처리방침이용약관콘텐츠 이용 안내

문의

문의하기

본 플랫폼에서 제공하는 뉴스 콘텐츠의 저작권은 각 언론사에 있으며, 무단 복제 및 배포를 금지합니다.

RSS 피드를 통해 수집된 콘텐츠는 각 원저작자의 라이선스 조건을 따릅니다. 오픈 라이선스(CC-BY 등) 콘텐츠는 해당 라이선스에 따라 출처를 표기합니다.

오픈뉴스백과는 뉴스 집계 및 검증 플랫폼으로, 개별 기사의 내용에 대한 책임은 해당 언론사에 있습니다.

이용자가 작성한 피드백, 팩트체크, 독자 제보 등의 콘텐츠에 대한 책임은 해당 작성자에게 있습니다.

콘텐츠 제거·정정이 필요하시면 문의하기에 남겨 주세요.

© 2026 오픈뉴스백과 (OpenNewsPedia). All rights reserved.

뉴스 목록
미디어 커버리지1건1개 미디어
뉴시스 속보
정치
중도 성향

北 해킹조직, 실제 학술행사 자료집 사칭…연구기관 노렸다

뉴시스 속보

[서울=뉴시스]윤정민 기자 = 실제로 열린 학술행사 자료집을 배포하는 것처럼 꾸민 뒤 학계와 연구기관 관계자의 PC를 감염시키는 사이버 공격이 포착됐다. 평소 업무와 관련된 행사 자료라도 발신자와 파일 형식을 확인하는 등 주의가 필요하다.

13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다.

◆실제 행사명·주최기관까지 도용…PDF 누르자 악성파일 설치

공격자가 보낸 이메일 제목은 ‘왜 지금 원산갈마 관광인가?’로, 같은 달 12일 서울 강남구 코엑스에서 열린 동명 학술 콘퍼런스를 사칭한 것으로 확인됐다.

이메일에는 해당 행사를 공동 주최한 기관들이 자료집을 전달하는 것처럼 내용이 작성됐다. 발신자 역시 통일 분야 기업 관계자인 것처럼 위장했다. 허위 행사를 새로 만들어낸 것이 아니라 실제 공개된 행사명과 주제, 주최기관 등의 정보를 일부 도용해 수신자의 경계심을 낮췄다.

이메일에는 약 28메가바이트(MB) 크기의 PDF 자료집도 첨부돼 있는 것처럼 보인다. 하지만 이를 클릭하면 클라우드 파일 공유 서비스 드롭박스에 접속해 ISO 이미지 파일을 내려받게 된다.

ISO 파일 내부에는 '260612(자료집-내지)동북아-원산갈마해안.pdf.pif'라는 파일이 들어 있다. 겉으로는 PDF 문서처럼 보이지만 실제 확장자는 프로그램을 실행할 수 있는 PIF 파일이다. 윈도 운영체제에서 알려진 파일의 확장자가 기본적으로 숨겨질 수 있다는 점을 악용한 이중 확장자 수법이다.

피해자가 해당 파일을 실행하면 실제 학술행사 자료집 PDF가 화면에 열린다. 이용자는 정상적인 자료를 열람했다고 생각하기 쉽다. 하지만 같은 시간 파일 내부에 함께 저장된 악성 프로그램이 보이지 않는 곳에서 실행된다.

악성파일은 정상 PDF와 악성 명령어(셸코드)를 하나의 실행파일에 함께 담은 다단계 구조로 제작됐다. 정상 문서를 먼저 보여줘 의심을 줄인 뒤 추가 악성코드를 PC 저장장치에 파일로 남기지 않고 메모리에서 바로 실행하는 방식이다.

이후 악성코드는 윈도 정상 프로세스인 'explorer.exe' 내부에 악성 프로그램을 몰래 심는다. 별도의 수상한 프로세스를 생성하지 않고 정상 프로세스 안에서 실행해 이용자와 일부 보안 솔루션의 탐지를 피하려는 것이다.

◆정상 자료집 뒤에서 정보 탈취…APT37 소행 가능성

최종적으로 실행되는 악성코드는 'RokRAT' 변종으로 분석됐다. 감염된 PC의 운영체제 버전과 컴퓨터 이름, 사용자 계정, 실행파일 경로 등 시스템 정보를 수집하고 화면을 캡처할 수 있다. PC에 연결된 드라이브와 파일 목록을 확인하거나 엑셀·워드·파워포인트·PDF·한글 문서 등을 찾아 외부로 빼내는 기능도 갖췄다.

공격자는 일반적인 해킹 서버 대신 pCloud와 드롭박스, 얀덱스 클라우드 등 정상 클라우드 서비스를 해커의 명령을 전달하고 탈취한 정보를 받아가는 통로로 활용했다. 악성 트래픽을 정상 클라우드 통신으로 위장하고 특정 서비스나 인증정보가 차단되더라도 다른 서비스로 통신을 이어가기 위한 구조다.

지니언스는 악성코드의 코드 구조와 명령 처리 방식, 클라우드 통신 방식, 과거 공격에서 사용된 얀덱스 계정과 인증정보 등을 종합한 결과 공격자가 ‘APT37’일 가능성이 매우 높다고 평가했다.

지니언스 측은 "정상 문서와 악성 프로그램을 하나의 실행파일 안에 함께 저장한 뒤 메모리에서 차례로 실행하는 방식은 향후 유사한 표적형 공격에도 계속 활용될 가능성이 높다"며 "공격 전 과정을 연계해 탐지할 수 있는 행위 기반 대응 체계를 강화할 필요가 있다"고 말했다.

◎공감언론 뉴시스 alpaca@newsis.com ...

전문 보기

이 뉴스, 어떠셨어요?

탭 한 번으로 반응 · 로그인 불필요

관련 뉴스

관련 뉴스 제보는 로그인 후 가능합니다.

'politics' 카테고리 뉴스

'호르무즈 해협' 美와 대치 격화…이란 "원자폭탄보다 중요" 왜?

노컷뉴스

日 자동차, 겉은 '메이드 인 재팬'…속은 '차이나'

노컷뉴스

장윤기 강간살인 인정…피해자 측 "양형 낮추려는 꼼수"

노컷뉴스

뉴시스의 다른 기사

명지대, KIST와 함께 '휴머노이드 로봇' 핵심 기술 확보 나선다

뉴시스 속보

전남광주통합특별시 출범 기념 'AI 귄-텐츠 오디션'

뉴시스 속보

법원 “삼성 핵심 인력, SK하이닉스 이직 1년 6개월 금지”

뉴시스 속보

피드백

피드백을 남기려면 로그인해 주세요.