레거시 확장자 악용 및 ‘임베드 페이로드 v2’ 아키텍처로 탐지 우회
EDR 기반 메모리 감시 및 보안 규정 점검 등 전방위 보안 점검 필요해
[보안뉴스 조재호 기자] 북한 해킹 조직 ‘APT37’ 소행으로 추정되는 신종 사이버 공격 캠페인 ‘오퍼레이션 캡슐 볼트’(Operation Capsule Vault)를 식별했다고 지니언스 시큐리티 센터가 13일 밝혔다.

▲오퍼레이션 캡슐 볼트의 공격 흐름도 [출처: 지니언스]
이날 공개된 지니언스 위협 인텔리전스 보고서에 따르면 이번 공격은 외교·안보·통일 분야 정책을 연구하는 국내 핵심 학술 종사자 정보 탈취를 목적으로 기존 방어 체계를 우회하는 기술적 특이점을 드러냈다. APT37은 방화벽 등 경계 보안이 철저한 정부 기관을 직접 타격하는 대신, 학술행사 직후 발표 자료나 참석자 명단을 수시로 주고받는 연구계 고유의 정보 교류 관행을 치밀하게 악용해 우회 침투 경로로 선택했다.
지니언스의 심층 분석 결과 이번 캠페인은 방어망 가시성을 무력화하기 위해 유인-회피-은닉-장악에 이르는 다단계 프로세스로 전개됐다.
유인 단계에서는 지난 6월 실제 개최된 학술행사 내용과 참석자 명단을 파악해 주최 측을 사칭한 스피어 피싱 이메일을 발송했다. 실제 행사 데이터를 악용한 사회공학적 기법을 구사하며 수신자의 의심을 최소화했다.
회피 단계에서는 이메일 본문에 악성 첨부파일을 넣는 대신 상용 클라우드 스토리지 링크를 악용해 샌드박스 검사를 수행하는 이메일 보안 게이트웨이(SEG) 탐지망을 우회했다. 링크를 클릭하면 가상 학술행사 안내 페이지로 위장한 웹 화면에서 악성 디스크 이미지(ISO) 파일 다운로드가 실행된다.
은닉 단계에서는 운영체제 보안 메커니즘을 역이용하는 기술적 특이점을 보였다. 일반 압축 파일 대신 ISO 디스크 이미지를 사용한 이유는 윈도우 환경에서 자동 마운트되는 특성을 악용하기 위함이다. 이를 통해 웹에서 다운로드된 파일에 부여되는 보안 식별자인 ‘웹 출처 마크’(MoTW) 검증을 무력화했다. 여기서 ISO 내부에 숨겨진 악성 파일에도 흔히 쓰이는 바로가기(LNK) 대신 과거 도스 체제에서 쓰인 프로그램 정보 파일(PIF) 포맷을 채택했다. 이는 최근 엔드포인트 보안 솔루션이 LNK 파일을 집중적으로 감시하기 때문이다. 또, 정상 PDF 아이콘으로 위장한 이중 확장자를 결합해 사용자 실행을 유도했다.
마지막 장악 단계에서는 ‘임베드 페이로드 v2’(EMBED_PAYLOAD_v2) 은닉 아키텍처가 가동된다. 사용자가 PIF 파일을 실행하면 임시 폴더에 정상 세미나 문서를 생성해 화면에서 출력한다. 사용자가 문서를 읽는 동안 백그라운드에서는 암호화된 셸코드가 복호화되며 정상 프로세스 메모리 영역에 악성 변종 ‘로크랫’(RokRAT)을 직접 주입(Injection)한다. 이러한 공격 과정에서 사용자 PC 저장소에 실행 파일을 남기지 않는 파일리스 기법까지 활용해 전통적인 백신 감시망울 우회했다.

▲미끼용 PDF 문서가 실행된 모습 [출처: 지니언스]
제어권을 확보한 로크랫은 키로깅과 화면 캡처, 시스템 정보 등을 수집해 종단 간 암호화가 보장된 텔레그램 API를 통해 정보를 유출했다. 이 과정에서 통신 거점으로 자체 서버 대신 드롭박스나 피클라우드 등 일반적인 상용 클라우드 API를 명령제어(C2) 서버로 악용했다. 이는 정상적인 비즈니스 HTTPS 트래픽 속에 악성 통신을 섞어 NIDS 모니터링과 IP 기반 차단 정책을 피하는 수법이다.
이 외에 지니언스는 악성 파일 빌드 타임이 2025년 10월로 훼손된 안티 포렌식 정황을 포착했다며, 이는 침해사고 조사를 교란하려는 치밀한 조작이라고 설명했다.
이번 캠페인처럼 인적 취약점과 기술적 탐지 우회가 결합된 위협에 맞서기 위해 지니언스 시큐리티 센터는 전방위적인 방어 거버넌스 점검이 필요하다고 조언했다. 우선 시그니처 기반 전통적 백신을 우회하는 파일리스 공격을 막기 위해 엔드포인트 탐지 및 대응(EDR) 솔루션 등을 활용해 메모리 내 이상 프로세스 적재 행위를 실시간 감시하는 단말기 가시성 확보가 요구된다.
또, 또한 인프라 환경 전반에서 상용 클라우드 스토리지를 향하는 비정상 트래픽을 상시 모니터링하고 허가되지 않은 ISO 디스크 이미지 마운트 및 PIF 실행 파일 작동을 원천 차단하는 애플리케이션 실행 제어 정책을 강제해야 한다. 끝으로 단말기 재부팅 시 악성코드가 자동 실행되도록 하는 시스템 고정 장치인 론치데몬(LaunchDaemon) 등 레지스트리 변조 여부를 감시하는 무결성 검증 절차의 내채화가 필수적이다.
무엇보다 기술적 방어벽이 아무리 견고해도 사람의 심리를 파고드는 스피어 피싱 앞에서는 무용지물이 될 수 있다. 출처가 불분명한 학술행사 안내 메일 열람과 클라우드 링크 접속을 지양하는 사용자 보안 인식 제고가 반드시 병행돼야 한다.
문종현 지니언스 이사는 이번 캠페인을 ‘사전에 철저히 설계된 표적형 공격’으로 규정하며 “공격자들은 기존 보안 솔루션이 탐지하는 시그니처와 패턴을 사전에 모두 테스트해 우회하며 단말기에 진입한다”고 설명했다. 이어 “일단 침투에 성공하면 하드디스크에 실행 파일을 남기지 않고 정상 프로세스 메모리 영역에 악성코드를 직접 주입(Injection)하는 파일리스 기법을 구사해 파일 시스템 중심의 전통적 백신을 무력화한다”고 덧붙였다.
그는 “정교해진 표적형 공격 앞에서 기존의 시그니처 기반 탐지 체계만으로는 한계가 뚜렷하다”며 “메모리 영역에서 일어나는 이상 행위를 실시간으로 추적하고 대응할 수 있는 EDR(Endpoint Detection and Response) 체계 구축이 필요하다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>














