6월 22일 발동된 대량 메일 공격의 실체
2026년 6월 22일, 연구·정책·학술 분야 종사자들에게 학술 콘퍼런스 자료집을 발송한다는 메일이 대량으로 발송됐다. 이메일은 실제로 6월 12일 서울 삼성동 코엑스에서 개최된 "왜 지금 원산갈마 관광인가?"라는 제목의 학술 콘퍼런스 명칭과 주최기관 정보를 도용했다. 수신자가 정상적인 업무 연락으로 착각하도록 유도하는 정교한 사회공학 기법이다.
탐지 회피 설계된 RokRAT 악성코드
이메일 첨부 파일은 PDF 문서처럼 보이지만 클릭 즉시 백그라운드에서 RokRAT(원격 접근 트로이목마) 변종이 작동한다. 공격의 핵심 특징:
- 별도의 악성 프로세스를 생성하지 않음
- 정상 프로세스 내부에서 동작
- 감염 사실 인지 어려움
- 일부 보안 제품의 탐지 우회 가능
감염된 시스템의 정보 탈취 기능을 수행하는 RokRAT은 2026년 7월 13일 지니언스 산하 지니언스시큐리티센터에 의해 분석됐다.
북한 배경 APT37 확정의 근거
공격이 APT37의 소행으로 분석된 이유:
- 최종 실행 악성코드가 APT37이 주로 사용하는 RokRAT과 동일
- 코드 구조의 유사성 확인
- 실제 학술행사 정보를 악용한 사회공학 기법과 다단계 악성코드 작동 방식 결합
기존 탐지 방식의 한계와 대응책
지니언스 관계자는 "다단계 작동 방식으로 탐지 회피 능력을 한층 강화했다"고 설명했다. 기존 침해지표(IoC) 기반 탐지만으로는 부족하다. 요구되는 대응 체계:
- 침해지표(IoC) 기반 탐지
- 스피어피싱(신뢰성 있는 기관 위장 사기) 감시
- 클라우드 기반 통신(C2) 모니터링
- 공격 전 과정을 연계하는 행위 기반 대응 체계
결론
'학술 메일'로 위장해 해킹을 시도한 북한 배후 조직의 공격은 기술적 정교함과 신뢰 조작을 결합했다. 정책 종사자·기술 연구자를 특정 타겟으로 삼고 실제 행사 정보를 도용하는 방식은 기존 스팸과 다른 높은 위협도를 의미한다.
즉시 실행 과제:
- 직원 교육: 의심 학술 자료 다운로드 전 발신자 확인 절차 수립
- 기술 강화: 메일 게이트웨이에 행위 기반 탐지 솔루션 추가 도입 검토
- 감시 체계: 엔드포인트 감지 및 대응(EDR)을 통한 클라우드 기반 통신 패턴 감지 강화