Kimsuky 딥페이크 군무원증, Lazarus 가짜 면접 등 실제 APT 사례로 분석하는 피싱 4개 하위 기법과 SigmaHQ 탐지 룰. MITRE ATT&CK T1566 허브 가이드.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
MITRE ATT&CK: T1566 (Phishing) | 전술: Initial Access | 플랫폼: Google Workspace, Linux, macOS, Office 365, SaaS, Windows
FBI IC3의 2024년 보고서에 따르면 피싱 관련 신고는 193,407건으로, 사이버범죄 유형 중 가장 많았다. 피싱은 전자적으로 전달되는 사회공학 공격이다. 특정 개인이나 조직을 노리는 스피어피싱부터 대규모 악성 스팸까지, 공격자는 상황에 맞는 4개 하위 기법을 조합한다.
공격자가 피싱을 선택하는 이유는 단순하다. 방화벽, EDR, 네트워크 세그먼테이션을 모두 우회하는 가장 빠른 경로이기 때문이다. 사용자의 클릭 한 번이면 내부 네트워크에 발판을 마련할 수 있다.
피싱 4개 하위 기법 공격 경로
| ID | 이름 | 설명 |
|---|---|---|
| T1566.001 | Spearphishing Attachment | 악성 첨부파일이 포함된 이메일 |
| T1566.002 | Spearphishing Link | 악성 링크가 포함된 이메일 |
| T1566.003 | Spearphishing via Service | SNS, 메신저 등 서드파티 서비스 경유 |
| T1566.004 | Spearphishing Voice | 전화를 이용한 사회공학 공격 |
각 하위 기법 상세 분석은 개별 글에서 다룹니다.
2025년 연구에 따르면 AI가 생성한 피싱 이메일의 클릭률은 54% 로, 무작위 피싱 이메일(12%)의 4.5배에 달한다. 기업 환경에서도 월 1,000명당 8.4명이 피싱 링크를 클릭하며, 이는 2023년 대비 190% 증가한 수치다.
피싱이 초기 침투 기법으로 압도적인 이유는 세 가지다.
Kimsuky — AI 딥페이크 군무원증 (2025년 7월)
Kimsuky는 AI로 생성한 가짜 군무원증 이미지(딥페이크 판정 수치가 높은)를 첨부한 스피어피싱 이메일을 한국 국방 관련 기관에 발송했다. '군무원증 초안 검토 요청'이라는 제목으로, 수신자가 첨부파일을 열면 악성코드가 실행되는 구조였다.
Lazarus — Operation SyncHole (2024년 11월~2025년 2월)
Lazarus 그룹(AppleJeus 포함)은 한국 소프트웨어, 금융, IT 등 6개 조직을 대상으로 스피어피싱 이메일을 통해 악성 페이로드를 배포했다. MITRE에 따르면 AppleJeus는 스피어피싱 이메일로 악성 페이로드를 유포한 것으로 기록되어 있다.
Kimsuky vs Lazarus 피싱 비교
SigmaHQ 커뮤니티는 T1566 관련 탐지 룰을 제공한다.
| 룰 | 탐지 대상 |
|---|---|
| HTML Help HH.EXE Suspicious Child Process | CHM 파일 실행 후 cmd.exe, PowerShell 등 의심 프로세스 생성 |
| Suspicious Microsoft OneNote Child Process | OneNote 내 악성 임베디드 객체 실행 탐지 |
핵심 원칙은 이메일 클라이언트나 문서 뷰어에서 생성되는 자식 프로세스 모니터링이다. 정상적인 문서 열람에서 cmd.exe나 PowerShell이 실행될 이유는 없다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.