北 APT37 ‘오퍼레이션 캡슐 볼트’ 공격... “연구계 정보 유출 비상”

2026-07-13 17:21
  • 카카오톡
  • 네이버 블로그
  • url
외교·안보 연구진 정보 교류 관행 노린 다단계 침투 전략 구사
레거시 확장자 악용 및 ‘임베드 페이로드 v2’ 아키텍처로 탐지 우회
EDR 기반 메모리 감시 및 보안 규정 점검 등 전방위 보안 점검 필요해


[보안뉴스 조재호 기자] 북한 해킹 조직 ‘APT37’ 소행으로 추정되는 신종 사이버 공격 캠페인 ‘오퍼레이션 캡슐 볼트’(Operation Capsule Vault)를 식별했다고 지니언스 시큐리티 센터가 13일 밝혔다.


▲오퍼레이션 캡슐 볼트의 공격 흐름도 [출처: 지니언스]

이날 공개된 지니언스 위협 인텔리전스 보고서에 따르면 이번 공격은 외교·안보·통일 분야 정책을 연구하는 국내 핵심 학술 종사자 정보 탈취를 목적으로 기존 방어 체계를 우회하는 기술적 특이점을 드러냈다. APT37은 방화벽 등 경계 보안이 철저한 정부 기관을 직접 타격하는 대신, 학술행사 직후 발표 자료나 참석자 명단을 수시로 주고받는 연구계 고유의 정보 교류 관행을 치밀하게 악용해 우회 침투 경로로 선택했다.

지니언스의 심층 분석 결과 이번 캠페인은 방어망 가시성을 무력화하기 위해 유인-회피-은닉-장악에 이르는 다단계 프로세스로 전개됐다.

유인 단계에서는 지난 6월 실제 개최된 학술행사 내용과 참석자 명단을 파악해 주최 측을 사칭한 스피어 피싱 이메일을 발송했다. 실제 행사 데이터를 악용한 사회공학적 기법을 구사하며 수신자의 의심을 최소화했다.

회피 단계에서는 이메일 본문에 악성 첨부파일을 넣는 대신 상용 클라우드 스토리지 링크를 악용해 샌드박스 검사를 수행하는 이메일 보안 게이트웨이(SEG) 탐지망을 우회했다. 링크를 클릭하면 가상 학술행사 안내 페이지로 위장한 웹 화면에서 악성 디스크 이미지(ISO) 파일 다운로드가 실행된다.

은닉 단계에서는 운영체제 보안 메커니즘을 역이용하는 기술적 특이점을 보였다. 일반 압축 파일 대신 ISO 디스크 이미지를 사용한 이유는 윈도우 환경에서 자동 마운트되는 특성을 악용하기 위함이다. 이를 통해 웹에서 다운로드된 파일에 부여되는 보안 식별자인 ‘웹 출처 마크’(MoTW) 검증을 무력화했다. 여기서 ISO 내부에 숨겨진 악성 파일에도 흔히 쓰이는 바로가기(LNK) 대신 과거 도스 체제에서 쓰인 프로그램 정보 파일(PIF) 포맷을 채택했다. 이는 최근 엔드포인트 보안 솔루션이 LNK 파일을 집중적으로 감시하기 때문이다. 또, 정상 PDF 아이콘으로 위장한 이중 확장자를 결합해 사용자 실행을 유도했다.

마지막 장악 단계에서는 ‘임베드 페이로드 v2’(EMBED_PAYLOAD_v2) 은닉 아키텍처가 가동된다. 사용자가 PIF 파일을 실행하면 임시 폴더에 정상 세미나 문서를 생성해 화면에서 출력한다. 사용자가 문서를 읽는 동안 백그라운드에서는 암호화된 셸코드가 복호화되며 정상 프로세스 메모리 영역에 악성 변종 ‘로크랫’(RokRAT)을 직접 주입(Injection)한다. 이러한 공격 과정에서 사용자 PC 저장소에 실행 파일을 남기지 않는 파일리스 기법까지 활용해 전통적인 백신 감시망울 우회했다.


▲미끼용 PDF 문서가 실행된 모습 [출처: 지니언스]

제어권을 확보한 로크랫은 키로깅과 화면 캡처, 시스템 정보 등을 수집해 종단 간 암호화가 보장된 텔레그램 API를 통해 정보를 유출했다. 이 과정에서 통신 거점으로 자체 서버 대신 드롭박스나 피클라우드 등 일반적인 상용 클라우드 API를 명령제어(C2) 서버로 악용했다. 이는 정상적인 비즈니스 HTTPS 트래픽 속에 악성 통신을 섞어 NIDS 모니터링과 IP 기반 차단 정책을 피하는 수법이다.

이 외에 지니언스는 악성 파일 빌드 타임이 2025년 10월로 훼손된 안티 포렌식 정황을 포착했다며, 이는 침해사고 조사를 교란하려는 치밀한 조작이라고 설명했다.

이번 캠페인처럼 인적 취약점과 기술적 탐지 우회가 결합된 위협에 맞서기 위해 지니언스 시큐리티 센터는 전방위적인 방어 거버넌스 점검이 필요하다고 조언했다. 우선 시그니처 기반 전통적 백신을 우회하는 파일리스 공격을 막기 위해 엔드포인트 탐지 및 대응(EDR) 솔루션 등을 활용해 메모리 내 이상 프로세스 적재 행위를 실시간 감시하는 단말기 가시성 확보가 요구된다.

또, 또한 인프라 환경 전반에서 상용 클라우드 스토리지를 향하는 비정상 트래픽을 상시 모니터링하고 허가되지 않은 ISO 디스크 이미지 마운트 및 PIF 실행 파일 작동을 원천 차단하는 애플리케이션 실행 제어 정책을 강제해야 한다. 끝으로 단말기 재부팅 시 악성코드가 자동 실행되도록 하는 시스템 고정 장치인 론치데몬(LaunchDaemon) 등 레지스트리 변조 여부를 감시하는 무결성 검증 절차의 내채화가 필수적이다.

무엇보다 기술적 방어벽이 아무리 견고해도 사람의 심리를 파고드는 스피어 피싱 앞에서는 무용지물이 될 수 있다. 출처가 불분명한 학술행사 안내 메일 열람과 클라우드 링크 접속을 지양하는 사용자 보안 인식 제고가 반드시 병행돼야 한다.

문종현 지니언스 이사는 이번 캠페인을 ‘사전에 철저히 설계된 표적형 공격’으로 규정하며 “공격자들은 기존 보안 솔루션이 탐지하는 시그니처와 패턴을 사전에 모두 테스트해 우회하며 단말기에 진입한다”고 설명했다. 이어 “일단 침투에 성공하면 하드디스크에 실행 파일을 남기지 않고 정상 프로세스 메모리 영역에 악성코드를 직접 주입(Injection)하는 파일리스 기법을 구사해 파일 시스템 중심의 전통적 백신을 무력화한다”고 덧붙였다.

그는 “정교해진 표적형 공격 앞에서 기존의 시그니처 기반 탐지 체계만으로는 한계가 뚜렷하다”며 “메모리 영역에서 일어나는 이상 행위를 실시간으로 추적하고 대응할 수 있는 EDR(Endpoint Detection and Response) 체계 구축이 필요하다”고 말했다.

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 시큐리티플랫폼

    • 인콘

    • 엔텍디바이스

    • 핀텔

    • 아이비젼

    • 아이디스

    • 인피닉

    • 웹게이트

    • 판빌코리아

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 엔토스정보통신

    • 원우이엔지

    • 지인테크

    • 에스엠시스템즈

    • 이화트론

    • 에스비젼

    • 테크스피어

    • 휴먼인텍

    • 슈프리마

    • 홍석

    • 시큐인포

    • 미래정보기술(주)

    • 티비티

    • 지오멕스소프트

    • 세연테크

    • 경인씨엔에스

    • 스마트시티코리아

    • 성현시스템

    • 렉스젠

    • 파인트리커뮤니케이션

    • 다후아코리아

    • 트루엔

    • 제이더블유씨네트웍스

    • 한국표준보안

    • 씨엠아이텍

    • 지엠케이정보통신

    • 시큐믹

    • 한국씨텍

    • 진명아이앤씨

    • 포엠아이텍

    • 비엔에스테크

    • 모니터

    • 펜타시큐리티

    • 시큐아이

    • 윈스테크넷

    • 이레산업

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 더플러스

    • 세이프네트워크

    • 네티마시스템

    • 아이엔아이

    • 에이앤티코리아

    • 인더스비젼

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 일산정밀

    • 크랜베리

    • 새눈

    • 누리콘

    • 윈투스시스템

    • 메트로게이트
      시큐리티 게이트

    • 케비스전자

    • 태양테크

    • 엘림광통신

    • 미래시그널

    • 뷰런테크놀로

    • 아이에스앤로드테크

    • 현대틸스
      팬틸트 / 카메라

    • 넥스트림

    • 스마컴

    • 구네보코리아

    • 명정보기술

    • 엔시드

    • 엔에스티정보통신

    • 와이즈콘

    • 글로넥스

    • 유진시스템즈

    • 엠스톤

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

회원가입

Passwordless 설정

PC버전

닫기