출처 : https://www.inews24.com/view/1599696

최근 정부가 해킹조직 '김수키(Kimsuky)'를 대북 독자제재 대상으로 지정한 가운데 또 다른 북한 연계 해커집단인 'APT37'이 활개를 치고 있어 주의가 요구된다. MS 워드와 한컴 오피스, 바로가기 파일 형식으로 위장한 악성코드를 유포하는 것이 특징이다.

4일 보안업계에 따르면 지난 4월부터 지난달까지 지니언스 시큐리티센터(GSC)는 이들 조직의 공격 시도 정황을 다수 포착했다. APT37은 '금성121’, '레드아이즈(RedEyes)', '그룹123', '리퍼(Reaper)' 등으로 불린다. 2012년부터 활동을 시작했으며 한국의 정부‧공공기관을 비롯해 금융, 미디어, 산업 등 민간 영역을 가리지 않고 광범위한 사이버 공격 활동을 수행하고 있다. 

GSC는 "APT37은 이메일 기반 스피어 피싱 공격을 주로 사용하지만 웹 기반의 워터링 홀 공격이나 소셜미디어, 토렌트 사이트를 이용한 무작위 침투, 안드로이드 스마트폰 이용자를 겨냥한 공격까지 다양한 기법을 구사한다"고 분석했다. 워터링 홀이란 해커가 공격 대상 정보를 수집해 웹사이트를 감염시킨 후 접속을 기다리는 수법이다.

GSC에 따르면 최근 APT37은 한 대북사업 대표에게 북한 인권 관련 특정 단체장의 명의를 사칭한 피싱 메일을 발송했다. 이메일 본문에는 이력서 파일로 위장한 악성파일 다운로드 링크가 삽입됐다.