Andariel가 한국 방산 기관에 보낸 Word 첨부파일 1개가 내부 침투의 시작이었다. HWP에서 OneNote까지 파일 포맷 진화와 탐지법.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
MITRE ATT&CK: T1566.001 (Spearphishing Attachment) | 전술: Initial Access | 플랫폼: Google Workspace, Linux, macOS, Office 365, SaaS, Windows
2018년, 한국 방산 및 에너지 기관 직원들의 메일함에 Word 문서가 도착했다. 제목은 업무와 관련된 내용이었고, 발신자도 익숙한 이름이었다. 문서를 열면 콘텐츠 사용 버튼이 나타났다. 클릭하는 순간, 악성코드가 실행됐다.
공격자는 Andariel, Lazarus 그룹의 하위 조직이다. AhnLab의 분석에 따르면 Andariel은 악성 Word와 Excel 첨부파일을 활용한 스피어피싱 캠페인을 수행했다. 이후 Malwarebytes가 확인한 바에 따르면, Andariel은 BMP 이미지 파일 안에 악성코드를 은닉하는 기법까지 발전시켰다.
문서 1개로 방산 기관을 뚫은 이 기법은, 10년이 지난 지금도 파일 포맷만 바꿔가며 반복되고 있다.
공격자는 방어 기술이 발전하면 파일 포맷을 바꾼다. 핵심은 동일하다 — 사용자가 신뢰하는 문서 형식 안에 실행 코드를 숨기는 것.
악성 첨부파일 포맷 진화
Office 매크로(DOC/XLS)가 가장 오래 쓰인 포맷이다. 2024년 기준 악성 첨부파일의 62%가 ZIP, 16%가 DOCM/DOCX다. Microsoft가 인터넷에서 다운로드한 Office 파일의 매크로를 기본 차단한 이후, 공격자는 대안을 찾았다.
한글(HWP)은 한국을 표적으로 하는 APT의 핵심 포맷이다. 한국 정부 기관과 기업에서 광범위하게 사용되기 때문에, Kimsuky나 Andariel이 반복적으로 선택한다.
CHM(컴파일된 HTML 도움말)은 Windows에서 기본 지원하는 형식이라 별도 소프트웨어 없이 실행된다. hh.exe가 파일을 열면 내장된 HTML과 스크립트가 자동 실행된다.
OneNote는 2023년부터 급부상한 포맷이다. 매크로 차단을 우회하기 위해 .one 파일 안에 악성 스크립트를 임베디드 객체로 삽입한다.
공격자가 포맷을 바꿔도 변하지 않는 것이 하나 있다 — 문서 뷰어에서 셸 프로세스가 생성된다는 사실이다.
Andariel이 한국 방산 기관의 정보를 탈취하려 했다면, Sandworm Team은 같은 진입 경로로 물리적 파괴를 실행했다.
2015년 12월, Sandworm Team은 Microsoft Office 첨부파일이 포함된 피싱 이메일로 우크라이나 전력 회사의 IT 시스템에 진입했다. 첨부파일 실행에서 내부 네트워크 장악, SCADA 시스템 접근, 전력 차단까지. 우크라이나 서부 지역 23만 가구가 최대 6시간 동안 정전을 겪었다.
| 비교 항목 | Andariel (한국) | Sandworm (우크라이나) |
|---|---|---|
| 목적 | 정보 탈취 | 물리적 파괴 (전력 차단) |
| 첨부파일 | Word/Excel/BMP | MS Office 매크로 |
| 표적 산업 | 방산, 에너지 | 전력 인프라 |
| 탐지까지 | 수개월 이상 | 수개월 (SCADA 접근 후 발각) |
| 후속 행동 | 지속적 정보 수집 | 1회성 파괴 공격 |
파일 포맷이 DOC에서 HWP, CHM, OneNote로 바뀌어도 공격자가 피할 수 없는 흔적이 있다. 악성 코드가 실행되려면 문서 뷰어 프로세스에서 자식 프로세스가 생성되어야 한다.
파일 포맷별 탐지 포인트
SigmaHQ 커뮤니티는 포맷별 탐지 룰을 제공한다.
| 포맷 | SigmaHQ 룰 | 탐지 핵심 |
|---|---|---|
| HWP | HWP Exploits | Hwp.exe → gbb.exe 자식 프로세스 |
| CHM | HH.EXE Child Process | hh.exe → cmd/PowerShell 등 15개 |
| OneNote | OneNote Child Process | onenote.exe → 의심 경로 실행 |
이 룰들은 참고용 탐지 로직으로, 환경별 로그 소스 매핑과 오탐 필터링 조정이 필요하다.
MITRE의 공식 탐지 전략(DET0236)은 이메일 메타데이터 → 디스크 파일 생성 → 프로세스 실행 → 외부 네트워크 통신의 행위 체인을 상관 분석한다. 포맷이 바뀌어도 이 체인 자체는 동일하다.
| 기법 | 링크 |
|---|---|
| T1566 Phishing (상위 기법) | Kimsuky의 딥페이크 군무원증부터 Lazarus의 가짜 면접까지 |
| T1059.001 PowerShell | PowerShell 악성코드: 83개 APT가 난독화로 숨기는 기법 |
| T1059.005 Visual Basic | VBA 매크로 악성코드, 45개 APT 그룹이 선택한 이유 |
| T1036.007 Double Extension | 이중 확장자 공격: report.pdf.exe 1개가 문서로 보이는 이유 |
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.