APT37

APT37 개요

• APT37(Advanced Persistent Threat 37)은 북한과 연관된 해킹 그룹으로, "Reaper", "ScarCruft", "Group123"등의 이름으로도 알려져 있습니다.
• 주로 한국을 포함한 특정 국가 및 기관을 타겟으로 사이버 공격을 수행하며, 정보 수집, 스파이 활동, 악성코드 배포 등을 주요 목표로 합니다.

APT37  주요 특징

배후 및 연관성

• 북한 정부와 연계된 해킹 그룹으로 추정
• 주로 한국, 일본, 미국 등의 정부 기관, 국방, 외교, 언론, 인권 단체 등을 타겟

공격 방식

• 스피어 피싱(Spear Phishing)
  • 이메일, 악성 링크, 문서 파일 등을 이용하여 표적 공격
• 제로데이(0-day) 익스플로잇
  • Adobe Flash, Hangul(HWP) 문서 파일 등에서 취약점을 활용하여 공격
• 워터링 홀(Watering Hole) 공격
  • 특정 웹사이트를 감염시켜 해당 사이트 방문자를 타겟팅
• 모바일 악성코드 배포
  • 안드로이드 기반 악성코드를 통해 정보 탈취
• 백도어 및 원격제어
  • 특정 시스템을 장악하고 지속적인 정보 유출

공격 대상

• 정부 및 군사 기관
• 외교 및 안보 관련 단체
• 언론사 및 기자
• 인권 단체 및 북한 관련 연구 기관
• 기업(특히 기술 및 방위 산업 관련 기업)

사용된 악성코드 및 툴

• RokRat → 원격제어 및 정보 유출 기능
• DOGCALL → 백도어 악성코드
• KARAE → 키로깅 및 스크린샷 촬영
• POORWEB → 웹 브라우저 익스플로잇

APT37  주요 공격 사례

2017년 – 한국 정부 및 군사 기관 공격

• 한글(HWP) 문서 취약점을 이용한 피싱 공격
• 외교 및 안보 관련 정보를 탈취

2018년 – Adobe Flash 제로데이 익스플로잇 공격

• Adobe Flash Player의 제로데이 취약점(CVE-2018-4878)을 활용
• 문서 파일이나 이메일을 통해 악성코드 유포

2019년 – 안드로이드 스파이웨어 유포

• 북한 관련 연구자 및 탈북자 대상 모바일 악성코드 배포
• 전화 통화 기록, 문자 메시지, 위치 정보 탈취

2021~2023년 – 글로벌 확산

• 한국 외에도 미국, 일본, 중동 지역까지 공격 확대
• 사이버 스파이 활동 및 특정 기업의 기밀 정보 탈취

APT37 대응 방안

소프트웨어 보안 업데이트 필수

• OS 및 애플리케이션(Adobe, MS Office, 한글 등) 최신 패치 적용

의심스러운 이메일/링크 주의

• 이메일 열기 전 발신자 확인, 의심스러운 첨부파일 실행 금지

다단계 인증(MFA) 사용

• 계정 보안을 강화하고 불법적인 접근 방지

네트워크 모니터링 및 침입 탐지 시스템(IDS) 활용

• 비정상적인 트래픽 감지 및 악성코드 탐지

APT 그룹의 최신 동향 파악

• 국가기관(KISA, 국정원 등)의 보안 공지 확인
• 보안 솔루션(Anti-APT, EDR 등) 도입