기사 핵심 요약
실제 학술행사 자료집으로 위장한 악성메일이 학계와 연구기관 관계자를 노렸다. PDF 이중 확장자 수법과 RoKRAT 감염 흐름을 알아본다.
- 실제 개최된 학술행사의 제목과 주최기관을 도용해 자료집을 배포하는 것처럼 꾸민 표적형 악성메일이 포착됐다.
- 첨부된 PDF를 클릭하면 드롭박스에서 ISO 파일을 내려받고, PDF처럼 보이는 PIF 실행파일을 열도록 유도하는 방식이다.
- 파일을 실행하면 정상 자료집이 표시되는 동시에 RoKRAT 변종이 메모리에서 실행돼 문서와 시스템 정보를 빼낼 수 있어 발신자·링크·확장자를 확인해야 한다.

학술행사 자료집 위장 악성메일은 어떤 공격인가
이번 공격은 실제 열린 학술행사의 이름과 주최기관 정보를 도용해 연구자에게 자료집을 보내는 것처럼 위장한 표적형 스피어피싱이다. PDF처럼 보이는 파일을 실행하면 정상 자료집과 악성코드가 동시에 작동하며, 최종적으로 PC의 문서·화면·시스템 정보를 탈취하는 RoKRAT 변종이 실행되는 구조다.
학계와 연구기관 관계자가 평소 업무 중 받을 법한 학술행사 자료집을 이용한 사이버 공격이 포착됐다.
제공된 지니언스 시큐리티 센터 분석에 따르면 북한 연계 조직 APT37로 추정되는 공격자는 지난달 22일 학술·연구 분야 관계자를 겨냥해 실제 콘퍼런스 자료집 배포 안내로 위장한 이메일을 발송했다.
이메일 제목은 ‘왜 지금 원산갈마 관광인가?’였으며, 같은 달 12일 서울 강남구 코엑스에서 열린 동명 학술행사의 제목을 도용한 것으로 분석됐다.
APT37은 과거에도 실제 포럼과 안보 행사, 대북 연구자료 등을 사칭해 표적에게 악성파일을 전달한 전력이 있다. 지니언스는 이 조직이 북한·안보·인권 분야 관계자를 대상으로 스피어피싱을 반복적으로 수행하고 있다고 분석했다.
실제 행사를 사칭해 의심을 낮췄다

이번 공격의 특징은 존재하지 않는 가짜 행사를 새로 만든 것이 아니라 실제 공개된 행사를 활용했다는 점이다.
공격자는 행사명과 주제, 공동 주최기관 등 온라인에서 확인할 수 있는 정보를 이메일에 일부 삽입했다. 발신자도 통일·대북 분야 기업이나 기관 관계자인 것처럼 꾸몄다.
수신자는 자신이 평소 관심을 두거나 업무와 연관된 행사 자료라고 생각하기 쉽다. 실제 열린 행사의 정보가 포함돼 있으면 단순한 광고메일이나 무작위 피싱보다 신뢰도가 높아진다.
이처럼 공격 대상의 업무와 관심사를 미리 조사한 뒤 맞춤형 내용을 보내는 공격을 스피어피싱이라고 한다.
| 구분 | 일반 피싱메일 | 이번 표적형 공격 |
|---|---|---|
| 발송 대상 | 불특정 다수 | 학계·연구기관 관계자 |
| 이메일 내용 | 배송·결제·계정 경고 등 | 실제 학술행사 자료집 안내 |
| 사용 정보 | 일반적인 문구 | 행사명·주제·주최기관 도용 |
| 발신자 위장 | 유명 기업이나 기관 | 통일 분야 관계자 |
| 주요 목적 | 계정·금융정보 탈취 | 연구자료와 시스템 정보 수집 |
APT37은 과거 공격에서도 실제 국가안보 관련 포럼을 미끼로 사용하거나 북한 관련 질문지와 원고, 행사 자료처럼 꾸민 파일을 전달했다.
PDF 자료집처럼 보이지만 실제로는 ISO 파일
이메일에는 약 28MB 크기의 PDF 자료집이 첨부된 것처럼 표시됐다.
하지만 제공된 분석에 따르면 첨부파일이나 링크를 클릭하면 정상 PDF가 바로 열리는 것이 아니라 클라우드 파일 공유 서비스 드롭박스로 연결된다.
사용자는 드롭박스에서 ISO 이미지 파일을 내려받게 된다. ISO는 원래 CD나 DVD의 내용을 하나의 파일로 저장하는 디스크 이미지 형식이다.
ISO 파일 자체가 모두 위험한 것은 아니지만 일반적인 학술행사 자료집을 ISO 형식으로 배포하는 경우는 드물다. PDF 자료를 안내하면서 ISO 파일을 내려받도록 한다면 의심해야 한다.
정상적인 자료 배포와 비교
| 확인 항목 | 정상적인 자료집 | 의심해야 할 사례 |
| 파일 형식 | PDF, HWP, DOCX | ISO, EXE, PIF, SCR |
| 링크 주소 | 공식 기관 홈페이지 | 외부 클라우드 단축 링크 |
| 파일명 | 행사자료집.pdf |
행사자료집.pdf.pif |
| 발신 도메인 | 기관 공식 도메인 | 무료 메일·유사 도메인 |
| 실행 과정 | 문서 프로그램으로 열림 | 프로그램 실행 경고 표시 |
‘PDF.pif’ 이중 확장자 수법이란
ISO 파일 내부에는 260612(자료집-내지)동북아-원산갈마해안.pdf.pif라는 이름의 파일이 들어 있었던 것으로 분석됐다.
파일명 가운데 .pdf가 포함돼 있지만 실제 확장자는 마지막에 붙은 .pif다.
PIF는 윈도에서 프로그램을 실행할 수 있는 파일 형식이다. 공격자는 파일명이 PDF로 끝나는 것처럼 보이게 하기 위해 .pdf.pif라는 이중 확장자를 사용했다.
윈도 설정에서 알려진 파일 형식의 확장자가 숨겨져 있으면 사용자는 마지막 .pif를 보지 못하고 자료집.pdf로 착각할 수 있다.
이중 확장자를 확인하는 방법
- 파일 탐색기를 연다.
- 상단의 ‘보기’ 메뉴를 선택한다.
- ‘표시’ 또는 ‘파일 확장명’을 활성화한다.
- 파일명의 마지막 확장자를 확인한다.
- PDF 자료가
.exe,.pif,.scr,.com으로 끝나면 실행하지 않는다.
파일 아이콘은 공격자가 쉽게 바꿀 수 있다. PDF 모양의 아이콘이라고 해서 실제 PDF라고 믿어서는 안 된다.
정상 자료집이 열리는데도 감염될 수 있는 이유
피해자가 PIF 파일을 실행하면 실제 학술행사 자료집 PDF가 화면에 표시된다.
사용자는 자신이 정상 문서를 열었다고 생각할 수 있다. 오류 메시지가 나타나지 않고 기대했던 자료가 화면에 나오기 때문에 공격을 알아차리기 어렵다.
그러나 정상 PDF가 열리는 것과 동시에 파일 내부에 숨겨진 악성 명령어도 실행된다.
정상 문서를 미끼로 보여주면서 뒤에서 악성코드를 실행하는 파일을 ‘디코이 문서’ 또는 ‘미끼 문서’를 이용한 공격이라고 부른다.
지니언스가 과거 분석한 APT37 공격에서도 악성 바로가기 파일을 실행하면 정상 문서를 먼저 보여주는 동시에 암호화된 RoKRAT을 파일리스 방식으로 실행하는 구조가 확인됐다.
악성코드는 왜 메모리에서 실행되나
이번 악성파일은 정상 PDF와 악성 셸코드를 하나의 실행파일 안에 함께 저장한 다단계 구조로 제작된 것으로 분석됐다.
셸코드는 컴퓨터가 직접 실행할 수 있도록 작성된 작은 명령어 집합이다.
공격자는 추가 악성파일을 PC 저장장치에 그대로 남기지 않고 메모리에 불러와 실행한다. 이를 파일리스 공격이라고 한다.
파일이 저장장치에 남으면 일반 백신이 악성파일의 특징을 비교해 탐지하기 쉽다. 반면 메모리에서만 실행하면 파일 기반 검사에서 흔적을 찾기 어려울 수 있다.
지니언스는 APT37이 암호화된 셸코드와 파일리스 실행 방식을 반복적으로 사용해 보안제품의 탐지를 회피하고 있다고 분석했다.
윈도 정상 프로세스 ‘explorer.exe’를 악용
제공된 분석에 따르면 악성코드는 윈도의 정상 프로세스인 explorer.exe 내부에 악성 코드를 주입한다.
explorer.exe는 바탕화면과 작업표시줄, 파일 탐색기 등을 관리하는 윈도 핵심 프로세스다.
공격자가 별도의 낯선 프로그램을 실행하지 않고 정상 프로세스 내부에서 악성코드를 작동시키면 사용자에게 눈에 띄기 어렵다.
일부 보안제품도 정상 프로세스라는 이유로 해당 활동을 즉시 차단하지 못할 수 있다.
이러한 기법은 프로세스 인젝션으로 불린다. 단순히 실행 중인 프로세스 이름만 확인하는 방식으로는 탐지가 어렵고, 정상 프로세스가 평소와 다른 네트워크 통신이나 문서 접근을 하는지 행위 흐름을 살펴야 한다.
최종 악성코드는 RoKRAT 변종
최종적으로 실행되는 악성코드는 RoKRAT 변종으로 분석됐다.
RoKRAT은 APT37 공격에서 반복적으로 발견된 정보 탈취형 원격제어 악성코드다. 감염된 PC의 시스템 정보를 수집하고 문서와 화면, 파일 목록 등을 외부로 전송할 수 있다.
지니언스는 APT37이 RoKRAT을 파일리스 방식으로 실행하고 드롭박스·pCloud 등 정상 클라우드 서비스를 명령제어 통로로 활용하는 공격을 지속해 왔다고 설명했다.
감염 PC에서 수집할 수 있는 정보
- 윈도 운영체제 버전
- 컴퓨터 이름
- 로그인 사용자 계정
- 악성파일 실행 경로
- 연결된 저장장치와 드라이브
- 폴더와 파일 목록
- 현재 화면 캡처
- 실행 중인 프로그램 정보
- 워드·엑셀·파워포인트 문서
- PDF와 한글 문서
- 연구자료와 업무용 파일
연구기관이나 대학 PC가 감염되면 공개 전 연구 결과와 정책자료, 전문가 연락처, 기관 내부 문서가 유출될 수 있다.
정상 클라우드 서비스를 해킹 통로로 사용
공격자는 별도로 구축한 수상한 서버 대신 pCloud와 드롭박스, 얀덱스 등 정상 클라우드 서비스를 통신에 사용한 것으로 분석됐다.
악성코드는 클라우드 서비스에서 명령을 내려받고 탈취한 정보를 다시 업로드할 수 있다.
기관 입장에서는 직원들이 평소에도 드롭박스와 같은 서비스를 사용할 수 있어 악성 통신과 정상 업무 통신을 구분하기 어렵다.
특정 클라우드 계정이나 인증정보가 차단돼도 다른 서비스로 통신을 전환할 수 있도록 여러 서비스를 함께 준비한 정황도 제시됐다.
지니언스의 과거 APT37 보고서에서도 스트림네이션, pCloud, 얀덱스, 드롭박스, 원드라이브 등 정상 클라우드 API가 명령제어 서버로 사용된 사례가 확인됐다.
지니언스가 APT37 공격으로 판단한 근거
지니언스는 악성코드의 코드 구조와 명령 처리 방식, 클라우드 통신 구조, 과거 공격에서 사용된 계정 및 인증정보 등을 종합해 APT37일 가능성이 매우 높다고 평가했다.
사이버 공격의 배후를 판단할 때는 파일 하나의 모양만 보는 것이 아니다.
다음과 같은 기술적·행동적 특징을 과거 공격과 비교한다.
- 악성코드 코드와 암호화 방식
- 사용된 파일 형식과 실행 단계
- 명령제어 서버와 클라우드 계정
- 표적이 된 사람과 업무 분야
- 이메일 문구와 언어 사용 방식
- 정상 문서를 보여주는 미끼 수법
- 정보 수집 명령과 파일 전송 구조
- 과거 공격에서 확인된 인증정보
다만 ‘APT37로 추정된다’는 표현은 기술 분석에 기반한 평가다. 공격 주체의 신원과 지시 관계가 사법적으로 최종 확정됐다는 의미는 아니다.
학계와 연구기관이 주요 표적이 되는 이유
학계와 연구기관은 정책과 외교·안보, 북한, 국방, 첨단기술 관련 비공개 정보를 다룰 수 있어 표적형 공격의 대상이 되기 쉽다.
연구자는 외부 기관에서 보내는 세미나 초청장과 자료집, 원고 요청, 설문지 등을 자주 받는다.
공격자는 이러한 업무 특성을 이용해 문서 열람을 자연스럽게 유도한다.
특히 다음과 같은 자료를 다루는 관계자는 주의가 필요하다.
- 북한·통일·외교·안보 연구자료
- 정부 정책 자문 문서
- 공개 전 학술논문과 조사자료
- 연구 참여자와 전문가 연락처
- 국제회의 참석자 명단
- 첨단기술·국방 관련 연구성과
- 기관 내부 회의자료
- 공동연구기관 계정정보
APT37은 과거에도 북한 인권단체와 대북 분야 종사자, 언론인, 전문가 등을 겨냥한 공격을 수행한 것으로 분석됐다.
학술행사 자료집 악성메일 확인 방법

업무와 관련된 행사 자료라도 제목과 내용만 믿고 파일을 열어서는 안 된다.
1. 발신자의 실제 이메일 주소를 확인한다
메일에 표시된 이름이 아니라 @ 뒤의 도메인을 살펴야 한다. 기관명과 비슷한 철자를 사용하거나 무료 이메일 계정을 썼다면 해당 기관에 직접 확인한다.
2. 행사의 공식 홈페이지를 확인한다
이메일 링크를 누르지 말고 브라우저에서 행사명이나 주최기관 홈페이지를 직접 검색한다. 공식 홈페이지에 자료집 배포 공지가 있는지 확인한다.
3. 링크의 실제 주소를 확인한다
마우스를 링크 위에 올리면 실제 연결 주소가 표시된다. 안내된 기관과 무관한 클라우드나 단축주소로 연결된다면 즉시 열지 않는다.
4. 파일 확장자를 표시한다
윈도 파일 탐색기에서 확장자 표시 기능을 켜고 파일명의 마지막 부분을 확인한다. 문서처럼 보이더라도 .pif, .exe, .scr, .com, .lnk라면 실행파일이다.
5. ISO 파일은 바로 열지 않는다
PDF 자료집을 안내하면서 ISO나 압축파일을 내려받게 한다면 보안 담당자에게 먼저 확인한다.
6. 발신 기관에 별도 연락한다
수신한 이메일에 답장하지 말고 해당 기관 공식 홈페이지에 공개된 전화번호나 이메일로 자료 발송 여부를 확인한다.
파일을 이미 실행했다면 어떻게 해야 하나
의심스러운 파일을 실행했다면 정상 문서가 열렸더라도 감염 가능성을 배제해서는 안 된다.
즉시 해야 할 조치
- 인터넷과 사내 네트워크 연결을 끊는다.
- PC 전원을 임의로 껐다 켜지 않는다.
- 기관 보안 담당자에게 즉시 알린다.
- 이메일 원본과 첨부파일을 삭제하지 않고 보존한다.
- 다운로드 주소와 파일명을 기록한다.
- 보안 담당자의 안내 없이 백신만 실행하고 업무를 재개하지 않는다.
- 다른 PC에서 이메일과 주요 계정의 비밀번호를 변경한다.
- 동일 메일을 받은 사람이 있는지 기관 전체에 확인한다.
전원을 바로 끄면 메모리에서 실행 중인 악성코드와 네트워크 접속 흔적이 사라져 분석이 어려워질 수 있다. 기관의 사고 대응 절차가 있다면 그 지침을 우선 따라야 한다.
기관 보안 담당자가 점검해야 할 항목
개인 사용자의 주의만으로 표적형 공격을 완전히 막기는 어렵다.
기관은 이메일 수신부터 파일 다운로드, 실행, 프로세스 주입, 클라우드 통신까지 전체 공격 흐름을 연계해 탐지해야 한다.
기술적 대응 항목
- 외부 발신 메일 경고 표시
- 실행파일 이중 확장자 차단
- 이메일의 ISO·PIF·LNK 파일 차단
- 클라우드 공유 링크 검사
- 윈도 확장자 기본 표시 정책
explorer.exe프로세스 인젝션 감시- 비정상 PowerShell과 셸코드 실행 탐지
- 메모리 기반 악성행위 분석
- 비정상 클라우드 업로드 탐지
- EDR 기반 단말 행위 모니터링
- 중요 문서 접근과 대량 전송 탐지
지니언스는 APT37 공격이 파일리스 방식과 정상 프로세스, 클라우드 서비스를 이용해 탐지를 회피하므로 단일 파일 검사보다 단말의 이상행위를 추적하는 EDR 체계가 필요하다고 강조해 왔다.
학술행사 사칭 공격 핵심 정리
이번 공격은 실제로 열린 학술행사의 제목과 기관 정보를 활용해 수신자의 의심을 낮췄다.
이메일에 첨부된 PDF 자료집을 클릭하면 드롭박스에서 ISO 파일을 내려받고, 내부의 .pdf.pif 실행파일을 열도록 유도했다.
파일을 실행하면 실제 행사 자료집이 화면에 표시되지만 동시에 RoKRAT 변종이 메모리에서 작동한다.
악성코드는 정상 윈도 프로세스에 숨어 시스템 정보와 화면, 문서 파일을 수집하고 정상 클라우드 서비스를 통해 외부로 전송할 수 있다.
평소 업무와 관련된 자료라도 파일 형식이 예상과 다르거나 외부 클라우드로 연결된다면 열지 말고 발신 기관에 별도로 확인해야 한다.
자주 묻는 질문
학술행사 자료집 PDF도 악성파일일 수 있나요?
실제 PDF 파일 자체가 아니라 PDF처럼 보이는 실행파일일 수 있습니다. 파일명이 .pdf.pif 또는 .pdf.exe처럼 끝난다면 마지막 확장자가 실제 파일 형식이므로 실행하지 말아야 합니다.
ISO 파일을 내려받으면 무조건 감염되나요?
ISO 파일을 내려받는 것만으로 반드시 감염되는 것은 아닙니다. 다만 ISO 내부의 악성 실행파일을 열면 감염될 수 있으므로 예상하지 못한 ISO 파일은 실행하지 말고 보안 담당자에게 확인해야 합니다.
정상 PDF가 열렸다면 안전한 것 아닌가요?
아닙니다. 공격자는 사용자를 속이기 위해 정상 PDF를 먼저 보여주면서 악성코드를 동시에 실행할 수 있습니다. 기대했던 문서가 열렸더라도 파일 형식이나 다운로드 과정이 이상했다면 감염 여부를 점검해야 합니다.
RoKRAT은 어떤 정보를 훔치나요?
RoKRAT은 운영체제와 컴퓨터 이름, 사용자 계정 등 시스템 정보를 수집할 수 있습니다. 화면을 캡처하거나 연결된 드라이브와 문서 파일을 검색해 외부로 전송하는 기능도 갖춘 것으로 분석됩니다.
드롭박스 링크는 안전하지 않은가요?
드롭박스는 정상적인 클라우드 서비스지만 공격자가 악성파일 배포와 명령제어에 악용할 수 있습니다. 서비스 이름만 보고 안전하다고 판단하지 말고 발신자와 공유파일의 형식을 함께 확인해야 합니다.




댓글을 남기려면 로그인 해주세요.