◈ 주요 결과 (Key Findings)
- 생성형 AI 'ChatGPT'를 이용한 김수키 그룹의 APT 공격 등장
- 한국의 군기관 공무원증 사진을 딥페이크로 위조해 신분증 발급업무로 접근
- 배치파일과 AutoIt 스크립트를 활용해 Anti-Virus 방어 회피 시도
- 난독화된 악성 스크립트 탐지와 단말보안을 위해 EDR 도입 전략 필수
1. 개요 (Overview)
2025년 7월 17일, 지니언스 시큐리티 센터(Genians Security Center / GSC)는 김수키(Kimsuky) 그룹 소행으로 분류된 스피어 피싱(Spear Phishing) 공격을 포착했습니다. 이는 한국의 국방분야 기관을 사칭한 APT 공격으로, 마치 군소속 공무원의 신분증 발급 업무처럼 사칭했습니다.
위협 행위자(Threat Actor)는 생성형 AI인 ChatGPT로 시안용 공무원증 이미지를 만들어 공격에 사용했는데, 이는 김수키 그룹이 '딥페이크(DeepFake)'를 활용한 실제 사례입니다.
딥페이크란 '딥러닝(Deep Learning)'과 '페이크(Fake)'의 합성어로, 인공지능(AI) 기술을 이용해 실제 존재하는 사람처럼 보이도록 가짜 이미지, 영상, 오디오 등을 생성하는 기술 또는 그러한 결과물을 일컫는 용어입니다.
현재는 생성형 AI를 이용해 실존 인물 대상처럼 보이도록 조작, 생성된 모든 자료를 총칭하는 의미로 확장됐습니다. 참고로 2017년 경 'deepfakes'라는 닉네임의 Reddit 사용자가 오픈소스 딥러닝 모델을 활용해 유명인 얼굴을 음란영상에 합성해 공유한 것이 어원으로 알려져 있습니다.
본 보고서는 딥페이크 기술이 실제 공격 시나리오에 어떻게 활용되고 있는지 구체적 사례를 통해 관찰하고, 이를 바탕으로 위협 인사이트를 도출함과 동시에 보안 환경에 미치는 잠재적 영향과 그 대응 방향성을 제시하는데 주 목적이 있습니다.
2. 배경 (Background)
GSC는 지난 7월 초 'ClickFix 전술 분석 보고서'를 공개한 바 있습니다. 당시 내용 중에 한국의 포털사 보안 기능처럼 위장된 사례가 일부 포함돼 있습니다.
해당 공격은 마치 한국 포털사의 캡차(reCAPTCHA) 보안 기능처럼 위장해 현혹하고, 팝업 창 안내에 따라 악성 PowerShell 명령어가 실행됩니다. 지니언스 위협 분석가는 당시 사용된 악성코드가 이번 국방분야 사칭 딥페이크 공격에 동일하게 쓰인 것을 확인했습니다.
[그림 2-1] 공격 시나리오
이러한 상관관계 연구를 통해, 본 AI 딥페이크 기반 군 공무원증 위조 사례를 이해하는데 도움이 될 수 있습니다.
더불어, 김수키 그룹은 마치 'AI가 메일을 대신 관리해 주는 기능'인 것처럼 제목을 속여 수신자를 현혹하는 등 AI를 테마로 한 공격에 적극성을 보이기도 했습니다.
한편, 생성형 AI 서비스 '클로드(Claude)'를 서비스 중인 미국의 앤트로픽(Anthropic)은 8월 28일 발간한 위협 인텔리전스 보고서 'Detecting and countering misuse of AI: August 2025'를 통해 북한 IT 종사자의 AI 악용 사례를 공개했습니다.
보고서에 따르면 AI를 활용하여 정교하게 조작된 가상 신원을 생성하고, 이를 기반으로 구직 과정에서 기술 평가를 수행한 것으로 확인되었습니다. 채용 이후에는 실제 기술 업무 또한 AI를 통해 처리한 정황이 드러났습니다. 보고서는 이러한 활동이 국제 제재를 회피하기 위한 동시에 북한 정권의 외화 획득을 목적으로 정교하게 설계된 것이라고 분석했습니다.
또한, AI 서비스가 없었다면 프로그래밍 역량이 부족하거나 영어 기반의 전문적 의사소통 능력이 제한되어 기술 면접을 통과하거나 업무를 지속하기 어려웠을 것이라고 덧붙였습니다.
추가로 한국의 외교부는 '북한 IT 인력에 대한 한미일 공동성명'을 통해 「북한 IT 인력은 가짜 신분과 위치로 위장하기 위해 AI 기술을 활용, 해외 조력자와 협력 등 다양한 수법을 사용한다. 북한 IT 인력을 고용, 지원하거나 이들에게 일감을 하청주는 것은 지적재산·정보·자금 탈취뿐 아니라, 평판 손상 및 법적 결과 등 심각한 위험을 초래한다.」고 밝힌 바 있습니다.
이처럼 국가 배후 위협 행위자들이 AI 서비스를 악용해 정교한 공격 활동을 수행하는 사례가 지속적으로 보고되고 있습니다. 특히, 북한 연계 공작원들이 AI를 활용해 가짜 신원과 이력서를 생성 후, 기술평가 및 실제 업무과정에서 AI를 이용하는 방식으로 사이버 침투 작전을 수행하고 있습니다.
AI 서비스는 업무 생산성을 높이는 강력한 도구이지만, 동시에 국가 안보차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소이기도 합니다. 따라서, 조직내 채용·업무·운영 전반에서 AI 악용 가능성을 고려한 사전 대비와 지속적인 보안 모니터링이 필요합니다.
3. 기술적 분석 (Technical Analysis)
3-1. 이메일 보안 안내 사칭 - ClickFix (Case 1)
지난 2025년 6월 2일, 마치 한국 포털사의 이메일 보안 안내 서비스처럼 위장된 피싱 공격이 다양하게 발견됐습니다.
주요 공격 대상은 북한분야 연구원, 대북 인권 활동가 및 언론기자 등이며 주로 민간에서 활동하는 북한관련 종사자를 주요 표적으로 삼았습니다.
[그림 3-1] ClickFix용 피싱 메일 화면
당시 확인된 각 메일 발신지 및 링크는 'liveml.cafe24[.]com' 주소가 명령제어(C2) 서버로 동일했습니다. 참고로 각 수신자는 서로 다릅니다.
| Date | Sender | Phishing Link |
| 2025-06-02 | serv_warnq0x@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |
| noreply_system001@liveml.cafe24[.]com | liveml.cafe24[.]com/css/img/out.php |
[표 3-1] 포털사 이메일 보안 안내 사칭 피싱 정보
피싱 메일 본문 하단에 포함된 링크를 클릭할 경우 C2로 연결된 후 ClickFix 팝업 창이 나타납니다. 그리고 백그라운드에서 복사된 악성 PowerShell, Batch 명령이 실행되면, 여러 단계를 거쳐, 한국의 'jiwooeng.co[.]kr' C2 서버에서 CAB 파일이 다운로드 됩니다.
[그림 3-2] ClickFix 팝업 창 화면
CAB 파일 내부에는 마치 Hancom Office 업데이트로 위장한 'HncUpdateTray.exe' 파일이 있습니다. 실제로 이 파일은 'AutoIt3.exe'이며, 함께 포함된 'config.bin' 이름의 컴파일된 오토잇 스크립트 실행 역할로 쓰입니다. 이 스크립트는 'jiwooeng.co[.]kr' C2와 주기적으로 통신하며, 공격의도에 따라 새로운 Batch 파일 명령을 수행합니다.
한편, ClickFix 전술 외에도 계정정보 탈취 목적의 전형적인 피싱 공격도 이어졌습니다. 이때는 'liveml.cafe24[.]com'에서 'snuopel.cafe24[.]com' 주소로 변경됐습니다.
[그림 3-3] 계정정보 탈취용 피싱 메일 화면
계정정보 탈취를 위한 피싱 공격에서도 발신에 쓰인 이메일 아이디 패턴은 유사성을 가지고 있습니다.
- noreply_system001@liveml.cafe24[.]com
- noreply_system001@snuopel.cafe24[.]com
특히, AI가 메일을 대신 관리해 주는 새 기능 안내처럼 위장한 내용도 있습니다. 위협 행위자(Threat Actor)는 AI 테마를 공격에 도입해 사용한 것입니다.
3-2. HWP 문서 첨부 사칭 - ClickFix (Case 2)
평소 보안 경각심이 높은 이용자가 익숙하지 않은 파일을 메일로 받게되면, 수상히 여기고 접근을 자제합니다. APT(Advanced Persistent Threat) 공격의 위협 행위자도 이러한 점을 잘 알고 있습니다.
그래서 공격 대상자의 활동분야나 관심사에 부합된 주제로 현혹해 접근하는 것이 일반적 입니다. 또는 상대적으로 보안 상태가 낮은 지인을 공격해 측면이동 거점을 만들고, 평소 주고 받던 대화에 개입해 자연스럽게 악성파일을 전달합니다.
[그림 3-4] HWP 문서 첨부로 위장한 ClickFix 공격 이메일 화면
본 사례는 지난 6월 17일 특정 인물을 대상으로 수행됐습니다. 마치 Hancom HWP 문서를 첨부한 것처럼 위장했습니다.
앞서 설명한 바와 같이 실제 공격을 받은 수신자는 평소 지인을 통해 이러한 HWP 문서를 정기적으로 제공받고 있었습니다. 그래서 크게 의심하지 않았고, 첨부된 파일에 접근했습니다.
문서 파일은 ClickFix 공격에 사용된 C2 서버 'liveml.cafe24[.]com' 주소와 같으며, 삽입됐던 내부 스크립트 코드 역시 동일하게 사용됐습니다.
3-3. 공무원 신분증 발급 사칭 - AI DeepFake (Case 3)
ClickFix 전술에 이어, 7월에는 OpenAI ChatGPT 서비스를 악용한 '딥페이크' 사례가 발견됩니다.
위협 행위자는 생성형 AI 서비스로 가짜 군 공무원 신분증 사진을 만들고, 마치 시안 검토 요청 업무처럼 위장한 스피어 피싱 공격을 수행했습니다.
이메일 발신지는 실제 군기관 공식 도메인 주소처럼 보이도록 비슷하게 만들었습니다.
[그림 3-5] 군 공무원증 초안 검토 요청으로 사칭한 공격 화면
해당 이메일은 하기와 같은 정보를 가지고 있으며, 다운로드된 압축파일에는 수신자의 실명(* 처리)이 포함돼 있습니다.
- 발신지
- uws64-116.cafe24[.]com
- 183.111.161[.]96 (KR)
- uws64-116.cafe24[.]com
- 첨부파일 링크
- versonnex74[.]fr
- 51.158.21[.]1 (FR)
- versonnex74[.]fr
- 다운로드 파일
- 공무원증 초안(***).zip
- 공무원증 초안(***).zip
'공무원증 초안(***).zip' 압축 내부에는 '공무원증 초안(***).lnk' 이름의 전형적인 바로가기 유형의 악성 파일이 포함돼 있습니다. 바로가기 속성의 Target 명령은 cmd.exe 프롬프트로 동작합니다. 먼저 'ab901ab' 값의 환경변수에 긴 문자열이 선언되어 있습니다. 그리고 슬라이싱(Slicing) 문법으로 난독화된 문자를 하나씩 추출하게 됩니다.
- %windir%\syswow64\cmd.exe
- /k "Set ab901ab=
- jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh
- jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh
- /k "Set ab901ab=
예를들어 '%ab901ab:~7,1%' 값에서 [~7,1]의 의미는 환경변수 문자열의 좌측(0번)에서 7번째 해당하는 문자열(p)을 선택하게 됩니다. 이렇게 순차적으로 문자를 추출하여 변환합니다.
| jBdv8X7pIwSzV5s62otf9Pk1WaeAyc4OuERbi30lxmUnZYrh | ||
| && call %ab901ab:~7,1%%ab901ab:~17,1%%ab901ab:~9,1%%ab901ab:~26,1%%ab901ab:~46,1%%ab901ab:~14,1%%ab901ab:~47,1%%ab901ab:~26,1%%ab901ab:~39,1%%ab901ab:~39,1% | ||
| ab901ab: | ~7,1 | p |
| ~17,1 | o | |
| ~9,1 | w | |
| ~26,1 | e | |
| ~46,1 | r | |
| ~14,1 | s | |
| ~47,1 | h | |
| ~26,1 | e | |
| ~39,1 | l | |
| ~39,1 | l | |
[표 3-2] 바로가기 속성에 포함된 난독화 문자열 추출
변환된 문자열은 PowerShell 명령으로 'jiwooeng.co[.]kr' 주소의 'private.php' C2 서버로 통신을 시도합니다.
[그림 3-6] 추출된 문자열 화면
C2 서버와 통신이 되면, '공무원증 초안(***).png' 사진과 'LhUdPC3G.bat' 파일을 임시폴더(%Temp%) 경로에 다운로드하여 실행합니다.
이때 받아지는 군 공무원증 시안으로 위장된 이미지 파일은 인터넷에 공개된 일부 사진과 비교한 결과 비슷하게 만들어진 딥페이크 사진으로 분석됐습니다.
특히, 파일의 메타데이터를 확인한 결과 생성형 AI 'ChatGPT'로 제작된 이력이 확인됩니다.
.png?hsLang=ko)
[그림 3-7] PNG 파일의 메타데이터 (일부 모자이크 처리)
군 공무원증은 법적으로 엄격히 보호되는 공적 신분증이기 때문에 실제와 동일하거나 유사한 형태로 제작해 사본을 만드는 것은 위법 행위에 해당됩니다. 그래서 ChatGPT에게 신분증 사본 제작을 요청하면, 불가하다는 응답을 줍니다.
다만, AI 모델이 반응할 수 있도록 프롬프트(Prompt)나 페르소나(Persona) 역할 설정에 따라 응답이 달라지게 됩니다. 실제 군 공무원증 복제가 아니라 합법적인 목적의 시안(Mock-up) 또는 샘플 용도의 가상 디자인 제작을 요청하는 방법입니다.
실제 공격에 쓰인 딥페이크 사진도 이에 해당됩니다. AI 서비스를 통해 모조 신분증을 제작하는 것이 기술적으로 어렵지 않기 때문에, 각별한 유의가 필요합니다.
.png?hsLang=ko)
[그림 3-8] AI가 만든 가상 인물 신분증 (일부 모자이크 처리)
공격에 사용된 '공무원증 초안(***).png' 파일을 Truthscan Deepfake-detector 서비스로 분석하면, 98% 딥페이크 사진으로 판명됩니다.
.png?hsLang=ko)
[그림 3-9] TruthScan 딥페이크 검색 결과 (일부 모자이크 처리)
이처럼 실제 유관 업무와 관련된 주제나 미끼(Decoy)를 통해 보다 정교한 공격이 가능해 집니다.
한편, 사진과 함께 설치된 'LhUdPC3G.bat' 파일이 실행되고, 본격적인 악성행위가 수행됩니다. 이 파일도 앞서 기술한 바로가기 파일과 동일하게 환경변수로 난독화된 문자를 하나씩 추출해 실행됩니다.
[그림 3-10] 난독화된 배치 파일 모습
내부 분기 점프용 식별자로 쓰인 'Start_juice', 'Eextract_juice' 문자열은 유사 사례가 지속 발견되고 있습니다. 별도로 이 내용은 '위협 귀속(Threat Attribution)' 및 상관관계 분석에 활용됩니다.
난독화된 배치 스크립트는 %headerurl% 변수로 선언된 'jiwooeng.co[.]kr' C2 서버의 'private.php?public=admin38' 주소로 7초 지연 후 접속을 시도합니다. 만약 통신이 성공되면, 'privname173.cab' 파일을 %Public% 경로에 다운로드한 후, 비교 조건에 따라 압축을 해제합니다.
그리고, 'HncAutoUpdateTaskMachine' 이름의 작업 스케줄러로 등록해, 마치 Hancom Office 업데이트처럼 위장해 동작합니다.
- C:\ProgramData\HncAutoUpdate\HncUpdateTray.exe
- C:\ProgramData\HncAutoUpdate\config.bin
[그림 3-11] 실행 다이어그램
작업 스케줄러로 매 7분마다 반복 실행되는 'HncUpdateTray.exe' 파일은 동일 경로에 있는 'config.bin' 파일을 로드하게 됩니다.
'HncUpdateTray.exe' 파일의 아이콘 화면처럼, 원본은 'AutoIt3.exe' 입니다. 그리고 'config.bin' 파일은 Compiled AutoIt Scripts 구조를 가지고 있습니다.
[그림 3-12] AutoIt 파일 모습
디컴파일된 오토잇 스크립트는 분석방해와 탐지회피를 위해 함수와 문자열을 난독화했습니다.
여기서 'msdbvxez()' 함수는 순환 키와 주기적 비트 배열을 활용하여 입력 문자열의 각 문자를 [+/−] 시프트하는 '비즈네르(Vigenère)' 변형 방식으로 구현된 문자 단위 암호화 기법입니다.
단순 '시저 암호(Caesar cipher)'에 비해 난독화 수준이 향상되어, 정적 문자열 분석 시 일반적인 문자 패턴을 쉽게 유추하기 어렵게 설계됐습니다.
[그림 3-13] 난독화 문자열 및 복호화 로직
난독화된 문자열을 디코딩해 보면, 한국의 C2 서버로 통신을 수행하고, GET 응답을 대기합니다.
|
Local $bxmfljmg = "ADODB.Stream" Local $ndexqvwc = "windows-1252" Local $izscpxux = "MSXML2.DOMDocument.6.0" Local $khabtatx = "b64" Local $lfqwxybb = "bin.base64" Local $nmpogecn = "WinHttp.WinHttpRequest.5.1" Local $iugrncsl = "GET" Local $vvajpije = "User-Agent" Local $qcffuoke = "COMPUTERNAME" Local $pzqvxcmw = "http://www.jiwooeng.co[.]kr/zb41pl7/bbs/icon/private_name/private.php?name=" Local $zkczmqub = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) Edge/133.2.1.0 AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36" Local $tmylhlop = "\tempprivate0082.bat" Local $tjpvtfse = "<html" |
[표 3-3] 난독화 문자열 디코딩 결과
결국 로드된 'config.bin' 스크립트는 'COMPUTERNAME' 값으로 감염단말을 구분하고, 정찰과정을 통해 추가 침투대상을 선별합니다.
그 다음 'tempprivate0082.bat' 파일을 추가 설치해 내부 자료탈취 및 원격제어 등 다양한 위협 행위를 수행할 수 있습니다.
4. 유사 사례 분석 (Similar case analysis)
4-1. 통일학술연구 단체 사칭 공격 사례
지난 2월 11일, 한국내 남북관계를 연구하는 통일학술연구 단체를 사칭해 수행된 스피어 피싱 공격입니다.
이 당시 공격은 마치 기고문으로 위장된 ZIP 압축 내부에 악성 LNK을 포함해 전달했습니다. 다운로드에 사용된 C2 주소는 'guideline.or[.]kr' 입니다.
[그림 4-1] 기고문 사칭 스피어 피싱 화면
LNK 파일은 내부에 'ms3360.bat' 파일을 포함하고 있는데, 이 배치 파일은 앞서 기술한 딥페이크 사례와 유사한 패턴을 가지고 있습니다.
[그림 4-2] 배치파일 내부 명령어 모습
딥페이크 때와 환경변수 값은 다르지만, 난독화 방식이 같으며 'Start_juice', 'Eextract_juice' 분기설정 문구가 동일합니다.
난독화된 배치 스크립트는 %themeaddr% 변수로 선언된 'hyounwoolab[.]com' C2 서버의 'push_pass.php?pass=push' 주소로 10초 지연 후 접속을 시도합니다. 만약 통신이 성공되면, 'MStemp109.cab' 파일을 %Public% 경로에 다운로드한 후, 비교 조건에 따라 압축을 해제합니다.
그리고, 'MicrosoftAppStoreTaskMachone' 이름의 작업 스케줄러로 등록해, 마치 MS AppStore처럼 위장해 동작합니다.
- C:\ProgramData\MicrosoftStore\MicrosoftAppStore.exe
- C:\ProgramData\MicrosoftStore\account.conf
- C:\ProgramData\MicrosoftStore\account.conf
여기까지는 딥페이크 사례와 비슷한 흐름이지만, 'MicrosoftAppStore.exe' 파일이 AutoIt 스크립트를 로드하는 형태가 아닙니다.
이때는 No Console Window용 Python으로 불리는 'pythonw.exe' 2.7 버전이 공격에 쓰이게 됩니다. 그리고 'account.conf' 파일은 '주석 기반 위장(Comment Camouflage)' 또는 '패딩 기반 난독화(Padding Obfuscation)' 기법을 사용합니다.
[그림 4-3] 주석 사이에 명령어가 숨겨진 모습
'pythonw.exe'는 파이썬 스크립트를 실행할 때 콘솔(cmd) 창을 화면에 표시하지 않는 실행 파일입니다. 그렇기 때문에, 악성 스크립트를 은밀하게 실행할 수 있습니다. 악성 스크립트는 다수의 주석문(#)을 포함해, 마치 무해한 로그/설정 파일로 위장하였지만, 주석이 아닌 파이썬 코드를 통해 악성 스크립트가 동작합니다.
해당 파이썬 코드는 'chr(숫자^숫자)' 10진수 문자열을 XOR 연산하는 난독화 (XOR-based String Obfuscation) 기법이 적용돼 있으며, 코드 실행 중에 동적으로 생성하는 런타임 복호화(Runtime Deobfuscation) 방식을 사용합니다.
이처럼 더미(Dummy) 변수명과 주석용 문자열 위장 때문에 코드만 봐서는 바로 의미를 해석하기 어렵습니다. 이처럼 가독성을 떨어트려, 분석 지연이 발생할 수 있습니다. 해당 파이썬 명령은 'hyounwoolab[.]com' C2 서버를 통해 'zarokey291.bat' 파일을 추가 설치하는 과정을 거치게 됩니다.
4-2. 파이썬 주석 위장을 통한 악성 행위 은폐 전술
앞서 설명한 콘솔 없는 파이썬과 주석(#) 문자열로 핵심코드 은폐에 사용한 별개의 사례를 살펴보겠습니다. 참고로, 'MicrosoftAppStore.exe'로 동일한 파일명이 활용된 사례가 있는데, 'account.conf'가 아닌 'appstore.version'인 점이 다릅니다.
초기 접근(Initial Access)은 대체로 스피어 피싱 공격을 통해 수행되고, CAB 파일을 다운로드하여 동작합니다.
| No | Date | File Name | Type | C2 |
| 1 | 2018-05-01 | notepad.exe | pythonw.exe | - |
| 2024-12-04 | notepad.cfg | malware | - | |
| 2024-12-07 | notepad.dat | dangol[.]pro | ||
| 2 | 2018-05-01 | MicrosoftAppStore.exe | pythonw.exe | |
| 2025-02-04 | appstore.version | malware | astaibs.co[.]kr | |
| 3 | 2018-05-01 | KMSAutoToolKit.exe | pythonw.exe | |
| 2025-02-18 | toolkit.kit | malware | zabel-partners[.]com | |
| 4 | 2018-05-01 | OnedriveAutoLoggin.exe | pythonw.exe | |
| 2025-03-10 | account.ini | malware | healthindustry.sookmyung.ac[.]kr |
[표 4-1] CAB 압축 별 내부 파일 목록과 정보 비교
특히, [표 4-1] 1번 CAB 파일은 통일학술연구 단체 사칭 공격의 hyounwoolab[.]com C2 서버를 통해 설치됐습니다. 압축 내부에 포함된 'notepad.cfg' 파이썬 스크립트 경우 기존처럼 주석 문자열 기능은 같지만, 문자열 난독화 방식은 조금 더 복잡하게 구현됐습니다. 결론을 정리하면, 'xbbPU2_2JjSsOHg' 변수의 BASE64 인코딩 데이터를 0~44번 인덱스를 뺀 나머지를 역순으로 추출해 디코딩합니다.
디코딩 후 나온 파이썬 명령은 'notepad.dat' 파일을 XOR 연산하고, 실행파일 구조로 변환해 메모리에 할당하는 전형적인 인-메모리 셸코드 로더(in-memory shellcode loader) 입니다.
참고로 다른 파일과 폴더는 모두 정상적인 파이썬 모듈입니다.
[그림 4-4] notepad.dat 파일 생성 폴더 및 호출 흐름
셸코드는 32비트 호환용 시스템 폴더(%windir%\SysWOW64)에서 임의로 선택된 정상 EXE 파일에 삽입(Injection) 됩니다.
보통 이런 방식을 '프로세스 할로잉(Process Hollowing)' 기법이라고 말합니다.
[그림 4-5] 셸코드 삽입 과정 디버깅 분석 화면
정상 프로세스에 삽입된 악성코드는 2개의 C2 서버로 접속을 시도합니다.
- dangol[.]pro/bbs/option.php
- api.pcloud[.]com?folderid=24008549953&auth=rPgir7ZJwas7ZkpEjjbqOnemSy65nfFpQiS369GTy
'dangol[.]pro', 'pcloud[.]com' 복수의 주소를 사용합니다. 만약 1개의 서버가 차단되더라도 일정기간 유지가 가능한 일종의 Failover 기반 C2 인프라 설계입니다.
[그림 4-6] C2 주소 화면
5. 위협 귀속 (Threat Attribution)
5-1. 개념
'위협 귀속'은 특정 위협 행위자, 소속 국가 및 조직, 혹은 특정 공격 캠페인과 연계하는 과정을 의미합니다. 이는 단순히 기술적 흔적 확인을 넘어, 공격의 배후 세력과 동기를 규명하는 핵심 분석 절차입니다.
기술적 지표(Technical Indicators: TTPs, 악성코드, 인프라)와 맥락적 지표(Contextual Indicators: 공격목표, 언어적 특징, 과거 활동 이력)를 종합적으로 분석하여 이루어집니다.
이러한 다각적 분석을 통해 특정 위협 그룹과 연결시킬 수 있습니다. 물론, 무엇보다 중요한 것은 신뢰할 수 있는 대규모의 독자적 증거 데이터(IoCs, 악성코드 샘플, 로그 등)를 확보하고 이를 체계적으로 분석·축적하는 것입니다.
이는 위협 귀속의 정확성과 신뢰성을 높이는 기반이 됩니다.
-
주요 항목 (Key Components of Threat Attribution)
-
- TTPs (Tactics, Techniques, and Procedures)
-
-
- 공격자가 사용하는 전술, 기술, 절차 등 행위패턴
-
-
-
- 고유 난독화 기술, C2 통신 기법, 측면이동 패턴 등
-
-
- Malware and Tools
-
-
- 악성코드 종류 및 암호화 알고리즘, 프레임워크, 활용 도구
-
-
-
- RAT, Hash, 난독화 기법 , 오픈소스 또는 상용 해킹 툴
-
-
- Infrastructure
-
-
- 도메인, IP, 서버, 인증서 등 공격에 사용된 인프라
-
-
-
- OS, WebShell, SNS, Email 및 호스팅 가입 정보
-
-
-
- 캠페인 간 공유·재활용되거나 동일 그룹 내에서 반복적으로 활용
-
-
- Targeting and Victimology
-
-
- 주로 공격받는 산업군, 지역, 조직 유형
-
-
-
- 금융권, 국방 분야, 특정 국가 기관 등
-
-
-
- 동기 파악 (기밀 탈취, 금전 취득, 협박, 염탐)
-
-
- Language, Code Style, Metadata, Decoy File
-
-
- 개발 환경 및 문화, 언어학적 특성에서 드러나는 단서
-
-
-
- 국가별 소프트웨어 특성, 파일 포맷 (HWP, EGG)
-
-
-
- 코드 주석 표현, 빌드 타임, PDB 경로, 계정명
-
-
-
- 주요 활동 또는 개발 시간 (타임존)
-
-
-
- 각종 아티팩트 자료
-
-
- Historical Campaigns
-
-
- 과거 공격 활동과의 연속성 및 재활용 여부
-
-
-
- 동일 그룹이 반복적으로 사용하는 공격 기법
-
-
-
- 악성코드 패밀리, 인프라 활용 패턴 등
-
-
-
-
OPSEC Fail 조사 (보안유지 실패, 거점 노출)
-
-
5-2. 상관 관계 재구성
유사 사례 기반으로 상관관계 화면을 구성하면, 다수의 개별 보안 이벤트가 서로 관계도 형태로 시각화됩니다. 각 노드는 보안 이슈나 침해지표(IoC)를 나타내며, 노드 간 연결선은 행위적·시간적 상관관계 또는 공통 데이터를 기반으로 합니다.
이러한 관계도는 개별 이벤트의 단편적 관찰이 아닌, 사건 간 연관성을 통해 공격 시나리오를 추적하거나 위협 그룹의 전술을 파악하는 데 유용합니다. 단, 화면에 표시되는 모든 이슈를 상세히 기술하기에는 제약이 있으므로, 필요 시 각 노드에 연결된 데이터를 조회하여 과거 발생 이력이나 관련 위협 인텔리전스(TI)를 확인할 수 있습니다.
이를 통해 현재 관찰된 이벤트가 과거 특정 공격 캠페인과의 연계성을 갖는지, 또는 반복적으로 나타나는 전술·기술·절차의 일환인지 검증할 수 있습니다.
또한, 딥페이크를 포함한 본 보고서의 다수 사례들이 과거 김수키 그룹이 활용한 위협 지표와 상관관계를 보이는 것을 확인했습니다.
[그림 5-1] 위협 지표 기반 상관 관계도
5-3. 공격에 쓰인 주요 미끼(Decoy) 파일
위협 행위자는 딥페이크 신분증뿐만 아니라 다양한 형태의 미끼 문서를 활용했습니다.
대표적으로 ▷북한의 환율 및 물가 상승 원인 전망 자료, ▷윤석열 정부의 비상계엄 선포를 통한 내란 혐의 진상규명 국정조사 결과보고서 등이 있습니다.
이러한 공격은 대북 연구, 국방, 정치·사회적으로 민감한 사안을 주제로 삼아, 대상자의 관심을 유발하고 현혹하는 특징을 보입니다.
[그림 5-2] 일부 미끼 문서 화면
6. 결론 및 대응 (Conclusion)
Genian EDR 관리자는 LNK(Windows Shortcut) 파일이 내부 엔드포인트로 유입되는 초기 단계부터 해당 아티팩트를 위협 요소로 식별하고 즉시 탐지할 수 있습니다.
압축 해제 프로세스(Bandizip.exe) 실행 시, 공무원증 초안으로 위장한 악성 페이로드가 생성되면 이상 행위 기반 탐지 규칙(XBA)에 의해 위협 이벤트로 식별·보고됩니다.
[그림 6-1] Genian EDR 위협 관리 화면
LNK 파일이 실행될 경우, cmd.exe 프로세스를 매개로 powershell.exe 명령이 호출되며, 이후 C2 서버로부터 딥페이크 이미지 파일과 악성 배치 스크립트가 다운로드 및 실행됩니다.
[그림 6-2] PowerShell 커맨드 라인 모습
추가로 다운로드된 악성 배치 파일은 실행 시 'timeout -t 7 /nobreak' 명령을 호출하여 약 7초간 프로세스 실행을 지연시킵니다.
이러한 기법은 일반적으로 행위 기반 샌드박스나 동적 분석 환경의 단기 모니터링을 우회하기 위한 지연 전술로 활용됩니다. 그러나 Genian EDR은 시간 지연 여부와 관계없이 전체 실행 체인을 추적·분석할 수 있으므로 해당 우회 기법의 효과를 무력화할 수 있습니다.
[그림 6-3] Genian EDR 공격 스토리 라인
Genian EDR 공격 스토리 라인은 악성코드의 전체 실행 플로우를 가시화하여, SOC(Security Operations Center) 운영자가 위협 행위를 신속하게 식별하고 대응 절차를 즉각 수행할 수 있도록 지원합니다.
7. IoC (Indicator of Compromise)
-
MD5
09dabe5ab566e50ab4526504345af297
33c97fc4eacd73addbae9e6cde54a77d
143d845b6bae947998c3c8d3eb62c3af
8684e5935d9ce47df2da77af7b9d93fb
90026c2dbdb294b13fd03da2be011dd1
472610c4c684cea1b4af36f794eedcb0
227973069e288943021e4c8010a94b3c
bd0e6e02814cf6dcfda9c3c232987756
eacf377577cfebe882d215be9515fd11
fcb97f87905a33af565b0a4f4e884d61
1b2e63ca745043b9427153dc2d4d4635
009bb71299a4f74fe00cf7b8cd26fdfc
-
Domain
liveml.cafe24[.]com
snuopel.cafe24[.]com
versonnex74[.]fr
seytroux[.]fr
contamine-sarzin[.]fr
jiwooeng.co[.]kr
guideline.or[.]kr
hyounwoolab[.]com
dangol[.]pro
astaibs.co[.]kr
zabel-partners[.]com
healthindustry.sookmyung.ac[.]kr
-
IP
183.111.161[.]96
183.111.182[.]195
183.111.174[.]34
183.111.174[.]97
184.168.108[.]207
51.158.21[.]1
58.229.208[.]146
59.25.184[.]83
111.92.189[.]12
112.175.184[.]4
121.254.129[.]86
