상대방이 친절하게 대화를 이어가고, 어느 순간 "군사 기밀 문서를 보여드리겠다"며 특별한 PDF 뷰어를 설치하라고 권유한다면—그것이 바로 북한 국가 지원 해킹 그룹 APT37(ScarCruft)의 최신 사이버 공작 수법입니다.
2026년 4월 공개된 한국 보안 업체 지니언스 보안 센터(GSC)의 분석 보고서에 따르면, APT37은 페이스북·텔레그램·변조된 PDF 설치 파일이라는 세 가지 무기를 결합해 RokRAT 원격접근 트로이목마(RAT)를 배포하는 다단계 소셜 엔지니어링 작전을 실행하고 있습니다.
이 포스팅에서는 공격의 전 단계를 처음부터 끝까지 해부하고, 여러분이 반드시 알아야 할 방어 방법까지 완전하게 정리합니다.
APT37이 기존 스피어피싱 이메일을 넘어 페이스북 친구 요청이라는 전혀 새로운 공격 벡터로 진입점을 전환했습니다. 이 변화는 일반 사용자까지 표적이 될 수 있음을 의미합니다.
APT37(ScarCruft)이란 누구인가?
APT37은 대한민국 정부·방산·언론·탈북자 단체를 주요 표적으로 삼는 북한 정부 연계 사이버 첩보 그룹입니다. ScarCruft, Reaper, Group123, InkySquid 등 다양한 별칭으로 추적되며, 2012년 무렵부터 활동한 것으로 추정됩니다.
이 그룹의 대표 무기는 RokRAT으로, 클라우드 서비스(Dropbox, Yandex, pCloud, Zoho WorkDrive 등)를 명령·제어(C2) 서버로 악용하는 고유한 특성을 지니고 있습니다. 합법적인 클라우드 트래픽에 악성 통신을 숨김으로써 네트워크 탐지를 회피합니다.
과거 APT37은 주로 악성 HWP(한글 문서)·LNK 파일을 첨부한 스피어피싱 이메일을 사용했습니다. 그러나 이번 작전은 소셜미디어 플랫폼을 초기 침투 경로로 채택한다는 점에서 전술적 진화를 보여줍니다.
공격 전체 흐름: 친구 요청부터 원격 제어까지
지니언스 보안 센터(GSC)가 공개한 기술 분석 보고서에 따르면, 이번 작전은 5단계의 정교한 다중 플랫폼 공격으로 구성됩니다.
"이번 공격은 합법적 소프트웨어 변조, 합법적 웹사이트 악용, 파일 확장자 위장을 결합한 고도의 회피 전략으로 평가된다." — 지니언스 보안 센터(Genians Security Center), 2026년 기술 보고서
RokRAT 악성코드의 핵심 기능 완전 해부
RokRAT은 Zoho WorkDrive의 OAuth2 API를 C2 인프라로 악용하며, 다수의 클라이언트 ID·시크릿·리프레시 토큰이 바이너리에 하드코딩되어 있습니다. 합법적인 클라우드 스토리지 트래픽과 구분이 어렵다는 점이 가장 큰 위협입니다.
이번 캠페인은 Zscaler ThreatLabz가 2026년 2월 'Ruby Jumper' 작전으로 분류해 공개한 Zoho WorkDrive 악용 사례와 동일한 전술을 공유하고 있습니다.
화면 캡처
피해자 화면을 주기적으로 스크린샷 촬영 후 Zoho WorkDrive로 유출
원격 명령 실행
cmd.exe를 통해 임의의 시스템 명령을 원격으로 실행
호스트 정보 수집
사용자·시스템 식별자, 드라이브 목록, 네트워크 정보를 종합 수집
지리적 위치 확인
ipinfo[.]io를 이용해 공인 IP 및 지리 위치를 식별
파일 탈취
.DOC .XLS .PPT .PDF .HWP .TXT 문서 및 .M4A .AMR 오디오 파일 수집
AES-256 암호화 유출
AES-256-CBC로 데이터를 암호화해 Zoho WorkDrive에 업로드, 합법 트래픽으로 위장
GSC는 "RokRAT의 핵심 기능 자체는 비교적 안정적으로 유지되며 여러 작전에서 반복 재사용되었다"고 분석합니다. 핵심 기능보다 배포·실행·회피 체인을 지속적으로 진화시키는 전략임을 보여줍니다.
탐지 회피를 위한 4가지 핵심 기법
① 합법 소프트웨어 변조 (Trojanized Software)
정상적인 Wondershare PDFelement 설치 파일을 변조해 악성 셸코드를 삽입했습니다. 피해자 입장에서는 정상적인 PDF 뷰어를 설치하는 것처럼 보이므로 의심을 품기 어렵습니다. 파일 서명 검증을 우회할 가능성이 있어 전통적인 안티바이러스 탐지를 어렵게 만듭니다.
② 합법 웹사이트 C2 서버 활용 (Living-off-Trusted-Sites)
공격자는 자체 서버가 아닌 침해된 합법 웹사이트(일본 부동산 정보 서비스 서울 지사 사이트)를 C2로 활용했습니다. 이 접근법은 도메인 평판 기반의 보안 솔루션 필터링을 우회하며, 악성 트래픽이 정상 사이트 통신과 구분되지 않도록 합니다.
③ 이미지 파일로 위장한 페이로드 (Steganography)
최종 RokRAT 페이로드를 JPG 이미지 파일로 위장해 전달하는 스테가노그래피 기법을 적용했습니다. 파일 확장자(.jpg)만 보는 보안 솔루션은 이를 무해한 이미지로 판단합니다.
④ 프로세스 기반 보안 소프트웨어 감지 및 회피
RokRAT은 실행 전 보안 소프트웨어 설치 여부를 확인합니다. 특히 치후(Qihoo)의 360 Total Security를 비롯한 보안 프로그램을 탐지하면 행동을 변경합니다. 또한 OfficeUpdate.exe와 같은 정상 프로세스 명칭으로 위장하고, 다양한 브라우저 User-Agent 문자열을 활용해 HTTP 통신을 일반 웹 트래픽으로 위장합니다.
공격 인프라 및 위협 행위자 귀속 근거
페이스북 계정 특성
- 계정명: richardmichael0828 / johnsonsophia0414
- 생성일: 2025년 11월 10일 (동일 날짜 생성)
- 설정 위치: 북한 평양(Pyongyang) 및 평성(Pyongsong)
- 두 계정 모두 관련 활동이 Astrill VPN IP에서 발생했으며, 해당 IP는 위협 인텔리전스 업체들이 북한 연계 클러스터와 이전부터 연결해 온 IP입니다.
역사적 활동 패턴과의 연속성
GSC의 이전 보고서 'Operation ToyBox Story'는 APT37이 Dropbox·Yandex·pCloud·Zoho 등 합법 클라우드 서비스를 반복 악용하는 패턴을 기록했습니다. 또한 RokRAT를 이미지 파일 또는 DLL 사이드로딩 체인 내부에 은닉하는 기법도 이번 작전에서 계속 사용됩니다.
| 구분 | 과거 TTPs | 이번 작전 변화 |
|---|---|---|
| 초기 침투 | 스피어피싱 이메일, HWP/LNK 첨부 | 페이스북 친구 요청 + 메신저 |
| 파일 전달 | 이메일 첨부, 악성 링크 | 텔레그램 암호화 ZIP |
| 설치 도구 | LNK, HWP 익스플로잇 | 변조된 정상 소프트웨어 설치파일 |
| C2 인프라 | Dropbox, Yandex, pCloud | Zoho WorkDrive (지속) |
| 페이로드 은닉 | 이미지 스테가노그래피 | 이미지 스테가노그래피 (지속·심화) |
| 표적 | 정부·언론·탈북자 단체 | 방산·국방 관련 종사자 |
Ruby Jumper 작전과의 연관성
Zscaler ThreatLabz는 2026년 2월, APT37이 Zoho WorkDrive와 USB 드라이브를 결합한 새 캠페인을 'Ruby Jumper'라는 코드명으로 공개했습니다. 이번 GSC 분석 사례는 Ruby Jumper와 동일한 Zoho WorkDrive C2 활용 전술을 공유하며, 두 캠페인이 동일한 인프라 또는 공격자 그룹에서 비롯되었을 가능성을 강하게 시사합니다.
"LNK·HWP 기반 스피어피싱에서 DLL 사이드로딩, 스테가노그래피를 거쳐 이제는 페이스북 기반 소셜 엔지니어링과 변조 설치 파일까지 — 정적 IoC만으로 APT37을 탐지하기는 점점 더 어려워지고 있다." — 지니언스 보안 센터(Genians Security Center) 분석
지금 당장 실천해야 할 방어 전략
개인 사용자를 위한 즉시 실천 사항
- ✅ 모르는 사람의 SNS 친구 요청 수락 신중히 하기 — 특히 방산·국방·외교 관련 종사자라면 더욱 주의가 필요합니다.
- ✅ 소셜미디어에서 외부 링크·파일 수신 후 실행 금지 — 출처를 확인할 수 없는 파일은 절대 실행하지 않습니다.
- 소프트웨어는 반드시 공식 홈페이지에서만 다운로드합니다.
- 운영체제·보안 소프트웨어 업데이트를 즉시 적용합니다.
- 이상한 PDF 뷰어 설치 요구가 있을 경우 100% 의심합니다.
조직 보안팀을 위한 대응 전략
- 정적 IoC 의존성 탈피: APT37은 도메인·해시를 지속 교체하므로 행동 기반(behavioral) 탐지로 전환해야 합니다.
- 클라우드 서비스 트래픽 모니터링: Zoho WorkDrive, Dropbox 등 클라우드 서비스로 나가는 비정상 대용량 암호화 업로드를 모니터링합니다.
- 소셜미디어 보안 교육 강화: 기술 외에 인간 요소(Human Factor) 중심 보안 훈련을 정기 실시합니다.
- 소프트웨어 설치 정책 강화: 사전 승인되지 않은 프로그램 설치를 차단하는 애플리케이션 화이트리스트 정책을 적용합니다.
- 위협 인텔리전스 구독: GSC, Zscaler ThreatLabz 등의 APT37 관련 위협 인텔리전스 피드를 구독하고 침해지표(IoC)를 주기적으로 업데이트합니다.
- 네트워크 분리 및 최소 권한 원칙: 방산·국방 관련 핵심 시스템을 일반 네트워크와 분리하고, 최소 권한(Least Privilege) 원칙을 엄격히 적용합니다.
APT37과 같은 국가 지원 해킹 그룹은 기술·심리·사회공학을 결합한 복합 공격을 구사합니다. 방어선의 가장 중요한 첫 번째 요소는 기술이 아닌 '사람'입니다. 직원 대상 소셜 엔지니어링 인식 훈련이 가장 비용 효율적인 방어 수단입니다.
APT37 주요 공격 작전 연대기
| 연도 | 작전/캠페인 | 주요 수법 | 표적 |
|---|---|---|---|
| ~2018 | 초기 캠페인 | HWP 익스플로잇, 스피어피싱 | 한국 정부·언론 |
| 2021~2023 | Operation ToyBox Story | 클라우드 C2(Dropbox, Yandex), RokRAT 이미지 은닉 | 한국 방산·NGO |
| 2024 | LNK 기반 캠페인 | 악성 LNK 파일, DLL 사이드로딩 | 탈북자·지원단체 |
| 2026.02 | Ruby Jumper | Zoho WorkDrive + USB 드라이브 결합 | 방산 관련 종사자 |
| 2026.04 | 페이스북 소셜 엔지니어링 작전 | FB 친구 요청 → Telegram → 변조 PDF 설치 파일 → RokRAT | 방산·국방 관련 인사 |
왜 이 공격이 특별히 위험한가?
이번 APT37 캠페인이 주목받는 이유는 단순한 기술적 정교함 때문이 아닙니다. 이 공격이 특별히 위험한 이유는 다음 세 가지 차원에서 기존 방어 패러다임을 무력화하기 때문입니다.
신뢰 기반 공격
기술적 취약점이 아닌 인간의 신뢰를 악용합니다. 어떤 패치도 '인간적 신뢰'를 막을 수 없습니다.
합법 인프라 완전 활용
Zoho, Facebook, Telegram 등 전 세계 수억 명이 사용하는 합법 서비스를 무기화합니다.
지속적인 전술 진화
매 캠페인마다 배포 방식을 변경해 정적 시그니처 기반 탐지를 무력화합니다.
플랫폼 간 이동 공격
Facebook → Messenger → Telegram으로 이어지는 다중 플랫폼 이동이 추적을 어렵게 합니다.
특히 방산·국방·안보 분야 종사자는 지금 당장 소셜미디어 계정의 친구 요청 설정을 재점검하고, 조직 내 보안 정책을 업데이트해야 합니다. APT37은 단순한 해커 집단이 아닌 국가의 자원과 지원을 받는 지능형 지속 위협(APT) 그룹입니다.
결론: 신뢰가 무기가 되는 시대, 우리가 해야 할 일
북한 APT37의 최신 작전은 사이버 공격의 전선이 기술에서 인간 심리와 소셜미디어 신뢰 관계로 이동했음을 증명합니다. 페이스북의 친구 요청 하나, 텔레그램의 파일 하나, 그리고 PDF 뷰어 설치 요청 하나—이 세 가지 단계가 국가 기밀과 개인 정보를 평양으로 보내는 경로가 될 수 있습니다.
방어의 시작은 인식입니다. 이 포스팅을 읽으신 여러분은 이미 가장 중요한 첫 걸음을 뗀 셈입니다. 지금 당장 주변의 방산·안보·외교 분야 지인들과 이 내용을 공유해 주세요. 하나의 공유가 하나의 침해를 막을 수 있습니다.
이 포스팅이 도움 되셨다면 팔로우와 공유(Share) 부탁드립니다.
.png)