북한 연계 조직 'APT37', 서울 콘퍼런스 자료집 사칭 피싱 메일 유포
PDF 자료집처럼 꾸민 실행파일로 PC 감염…문서·화면 정보 탈취
지니언스 "APT37 소행 가능성 높아…행위 기반 탐지 강화해야"
![[서울=뉴시스] 북한 해킹. (사진=뉴시스 DB) 2026.01.16. photo@newsis.com](https://img1.newsis.com/2026/01/16/NISI20260116_0002042718_web.jpg?rnd=20260116183101)
[서울=뉴시스] 북한 해킹. (사진=뉴시스 DB) 2026.01.16. [email protected]
[서울=뉴시스]윤정민 기자 = 실제로 열린 학술행사 자료집을 배포하는 것처럼 꾸민 뒤 학계와 연구기관 관계자의 PC를 감염시키는 사이버 공격이 포착됐다. 평소 업무와 관련된 행사 자료라도 발신자와 파일 형식을 확인하는 등 주의가 필요하다.
13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다.
실제 행사명·주최기관까지 도용…PDF 누르자 악성파일 설치
![[서울=뉴시스] 13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다. 사진은 피싱 이메일 화면. 2026.07.13. (사진=지니언스 시큐리티 센터) *재판매 및 DB 금지](https://img1.newsis.com/2026/07/13/NISI20260713_0002184968_web.jpg?rnd=20260713105544)
[서울=뉴시스] 13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다. 사진은 피싱 이메일 화면. 2026.07.13. (사진=지니언스 시큐리티 센터) *재판매 및 DB 금지
공격자가 보낸 이메일 제목은 ‘왜 지금 원산갈마 관광인가?’로, 같은 달 12일 서울 강남구 코엑스에서 열린 동명 학술 콘퍼런스를 사칭한 것으로 확인됐다.
이메일에는 해당 행사를 공동 주최한 기관들이 자료집을 전달하는 것처럼 내용이 작성됐다. 발신자 역시 통일 분야 기업 관계자인 것처럼 위장했다. 허위 행사를 새로 만들어낸 것이 아니라 실제 공개된 행사명과 주제, 주최기관 등의 정보를 일부 도용해 수신자의 경계심을 낮췄다.
이메일에는 약 28메가바이트(MB) 크기의 PDF 자료집도 첨부돼 있는 것처럼 보인다. 하지만 이를 클릭하면 클라우드 파일 공유 서비스 드롭박스에 접속해 ISO 이미지 파일을 내려받게 된다.
ISO 파일 내부에는 '260612(자료집-내지)동북아-원산갈마해안.pdf.pif'라는 파일이 들어 있다. 겉으로는 PDF 문서처럼 보이지만 실제 확장자는 프로그램을 실행할 수 있는 PIF 파일이다. 윈도 운영체제에서 알려진 파일의 확장자가 기본적으로 숨겨질 수 있다는 점을 악용한 이중 확장자 수법이다.
![[서울=뉴시스] 13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다. 사진은 미끼용 정상 문서가 실행된 모습. 2026.07.13. (사진=지니언스 시큐리티 센터) *재판매 및 DB 금지](https://img1.newsis.com/2026/07/13/NISI20260713_0002184966_web.jpg?rnd=20260713105433)
[서울=뉴시스] 13일 지니언스 시큐리티 센터(GSC)에 따르면 최근 북한 연계 조직 ‘APT37’로 추정되는 공격자가 지난달 22일 학계와 연구기관 관계자를 겨냥해 실제 학술행사 자료집 배포 안내로 위장한 표적형 공격을 진행했다. 사진은 미끼용 정상 문서가 실행된 모습. 2026.07.13. (사진=지니언스 시큐리티 센터) *재판매 및 DB 금지
피해자가 해당 파일을 실행하면 실제 학술행사 자료집 PDF가 화면에 열린다. 이용자는 정상적인 자료를 열람했다고 생각하기 쉽다. 하지만 같은 시간 파일 내부에 함께 저장된 악성 프로그램이 보이지 않는 곳에서 실행된다.
악성파일은 정상 PDF와 악성 명령어(셸코드)를 하나의 실행파일에 함께 담은 다단계 구조로 제작됐다. 정상 문서를 먼저 보여줘 의심을 줄인 뒤 추가 악성코드를 PC 저장장치에 파일로 남기지 않고 메모리에서 바로 실행하는 방식이다.
이후 악성코드는 윈도 정상 프로세스인 'explorer.exe' 내부에 악성 프로그램을 몰래 심는다. 별도의 수상한 프로세스를 생성하지 않고 정상 프로세스 안에서 실행해 이용자와 일부 보안 솔루션의 탐지를 피하려는 것이다.
정상 자료집 뒤에서 정보 탈취…APT37 소행 가능성
공격자는 일반적인 해킹 서버 대신 pCloud와 드롭박스, 얀덱스 클라우드 등 정상 클라우드 서비스를 해커의 명령을 전달하고 탈취한 정보를 받아가는 통로로 활용했다. 악성 트래픽을 정상 클라우드 통신으로 위장하고 특정 서비스나 인증정보가 차단되더라도 다른 서비스로 통신을 이어가기 위한 구조다.
지니언스는 악성코드의 코드 구조와 명령 처리 방식, 클라우드 통신 방식, 과거 공격에서 사용된 얀덱스 계정과 인증정보 등을 종합한 결과 공격자가 ‘APT37’일 가능성이 매우 높다고 평가했다.
지니언스 측은 "정상 문서와 악성 프로그램을 하나의 실행파일 안에 함께 저장한 뒤 메모리에서 차례로 실행하는 방식은 향후 유사한 표적형 공격에도 계속 활용될 가능성이 높다"며 "공격 전 과정을 연계해 탐지할 수 있는 행위 기반 대응 체계를 강화할 필요가 있다"고 말했다.
◎공감언론 뉴시스 [email protected]
