HWP 문서 기반 APT 공격의 실태 — Kimsuky·APT37 심층 분석

2025년 12월 22일 보안 업계에 "아르테미스 작전"이라는 이름이 등장했다^[1]. 북한 연계 APT 그룹 APT37이 한글(HWP) 문서와 DLL 사이드로딩을 결합한 정밀 표적 공격을 수행한 정황이 지니언스 시큐리티센터에 의해 포착됐다는 보도였다. "한글 파일을 열었더니 감염" — 이 문장이 한국 보안 담당자들에게 낯설지 않다는 사실 자체가, 우리가 무엇을 반복적으로 놓치고 있는지 말해준다. 이 글은 Kimsuky와 APT37, 두 대표 APT 그룹이 HWP 문서를 공격 벡터로 삼아온 방식 — 2013년부터 2025년까지 — 을 연도별·기법별로 정리하고, 조직이 2026년 기준으로 바로 적용할 수 있는 방어 설계를 제안한다.

13년

Kimsuky 활동 기간
2013년부터 확인^[2]

75%

이메일 1차 침투 비율
SecuLetter Ensecure v2^[3]

34ms

SLCDR 평균 무해화 시간
DISARM Solution Intro^[4]

100%

KISA 악성코드 탐지율
Certified by KISA^[3]

1 왜 HWP인가 — 한국 타겟 APT의 구조적 선택

북한 연계 APT 그룹들이 한국 조직을 겨냥할 때 가장 먼저 고려하는 것은 "어떤 파일 포맷이 가장 많이 열리는가"다. 이 질문에 대한 답은 분명하다 — 한글(HWP)이다. 공공기관·언론·학계·탈북민 단체·방산업계 모두 HWP를 일상적으로 사용한다. 업무 문서의 대부분이 HWP이므로, 공격자가 HWP를 보내도 수신자가 의심하지 않는다. 공격 성공률의 가장 큰 변수는 사용자의 첫 반응이다. 의심 없이 열리는 포맷이 공격자에게는 가장 강력한 무기다.

여기에 구조적 요인이 더해진다. HWP 파일 포맷은 OLE 복합 문서 구조를 기반으로 설계됐고, 내부에 다양한 형태의 실행 가능 콘텐츠가 임베드될 수 있다. 포스트스크립트, 매크로, 임베디드 OLE 객체, 외부 참조 URL 자동 호출, LNK 바로가기까지 — 공격자가 활용할 수 있는 벡터가 광범위하다. 글로벌 보안 벤더들은 이 포맷을 완전히 지원하지 못하는 경우가 많다. 글로벌 CDR·샌드박스 제품이 HWP 내부의 세밀한 구조까지 해부하지 못하면, 악성 요소가 탐지·제거 없이 통과한다. 결과적으로 Kimsuky와 APT37은 "열리기 쉽고 검사되기 어려운 포맷"을 찾았고, 그것이 HWP였다.

💡 공격자 관점의 HWP 매력도
수신자 저항 최소 — 업무 문서의 주력 포맷, 의심 없이 클릭
임베드 가능 요소 다양 — OLE · LNK · MSC · 포스트스크립트 · 외부 링크
글로벌 검사 도구 사각지대 — 해외 벤더의 HWP 파서 완성도 부족
한국어 컨텍스트 — 사회공학 기법(외신 인터뷰·논문·강연의뢰)이 효과적으로 작동
정적·동적 분석 모두에 저항 — 매크로 난독화·시간차 실행 등 회피 기법 접목 가능

2 Kimsuky — 2013년부터의 진화 연대기

Kimsuky는 북한 정찰총국 연계로 분류되는 APT 그룹이다. 국제 보안 커뮤니티에서는 APT43 또는 Thallium이라는 이름으로도 불린다. KISA의 과거 분석 보고서에 "Kimsuky APT 악성코드"가 별도 챕터로 다뤄질 정도로^[5], 한국 사이버 위협 환경에서 비중이 크다.

Kimsuky가 만들어온 악성코드 패밀리

Kimsuky의 악성코드 패밀리는 "샤크(Shark)" 계보로 알려져 있다. 시기별로 이름이 달라지지만 핵심 아키텍처는 유사하다.

BabyShark — 2018년경부터 확인된 초기 패밀리. 기본적인 정보 수집·C2 통신
ReconShark — 정찰(Reconnaissance) 기능 특화. 표적 환경 분석
ToddlerShark — 경량화·지속성 강화 버전
BlueShark — Genians가 2024~2025년 분석한 최신 변종^[6]

표적과 미끼의 진화

Kimsuky는 "대상자의 업무나 관심사와 관련된 내용"으로 위장한 스피어피싱을 체계적으로 사용한다^[7]. ASEC이 공개한 실제 사례들은 놀라울 정도로 정교하다.

시점	위장 미끼	표적 유형
2022년	한반도 대북 정책 / 한미·한중 외교 질문 문서	외교·안보 전문가
2024년	논문 파일 위장 — 학술 포맷으로 HWP 유포^[8]	학자·연구자
2025년 상반기	강연 의뢰서 위장 — HWP + MSC 관리콘솔 결합^[9]	학계·언론 인사
2025년 2분기	KB국민은행 사칭 HWP + LNK 결합^[10]	일반 사용자·기업 직원
2025년 하반기	외신 인터뷰 의뢰 사칭 — OLE 임베디드^[11]	국내 언론·논평가
2026년 상반기	위탁교육생 선발 사칭 — HWPX + JSE 복합^[12]	공공기관 담당자

표에서 눈에 띄는 패턴이 있다. 미끼가 점점 더 타깃 개인화된다는 점. 2022년의 "대북 정책 질문"은 외교 관계자라면 누구든 관심 있을 만한 일반 미끼였다. 2025년의 "강연 의뢰"나 "외신 인터뷰 의뢰"는 특정 전문가를 겨냥한 정밀 공격이다. 공격자가 SNS·공개 정보로 타깃을 정찰한 뒤 맞춤형 미끼를 설계한다.

⚠️ Genians 시큐리티센터 관찰 (2025 2분기)

"2분기에 들면서 HWP 문서 내 악성 OLE를 삽입한 공격 사례가 조금씩 발견되고 있습니다. 물론, LNK 바로가기 유형의 악성 코드는 5월까지 꾸준히 보고됐습니다. 특히, MSC 관리콘솔을 이용한 위협이 연이어 식별된 것은 매우 주목할 점입니다."^[11]

3 APT37 — 아르테미스 작전과 정밀 표적의 세계

APT37은 Reaper 또는 ScarCruft라고도 불린다. 정부·방산·탈북민 커뮤니티·독립 기자를 주된 표적으로 삼는다. 2025년 12월 보도된 "아르테미스 작전"은 APT37의 기법 진화를 보여주는 대표 사례다^[1].

아르테미스 작전의 구조

아르테미스 작전은 HWP 문서 + DLL 사이드로딩의 결합이다. 지니언스 시큐리티센터의 분석에 따르면^[13], 공격 흐름은 다음과 같다.

STAGE 01 · 스피어피싱 메일

정상 문서로 위장한 메일 수신

표적 업무 맥락에 맞는 내용 — 정책 자료 · 회의 자료 · 인터뷰 요청 등. 이메일 본문과 첨부 HWP 제목이 일관성을 유지해 의심을 최소화. 첨부 파일은 표면적으로 정상 HWP 문서.

MITRE T1566.001

STAGE 02 · HWP 열람 + 유도

문서 내부 OLE/LNK가 실행 유도

HWP를 열면 표면적으로는 정상 콘텐츠가 보인다. 사용자가 본문을 읽는 사이 내부의 OLE 또는 LNK가 백그라운드에서 트리거. 다단계 페이로드의 첫 단계가 시작된다.

OLE · LNK 임베디드

STAGE 03 · DLL 사이드로딩

정상 프로세스에 악성 DLL 주입

정상 시스템 프로세스가 로드하는 DLL을 악성 버전으로 교체해 실행. 이 기법은 엔드포인트 보안 도구의 탐지를 우회하는 데 매우 효과적이다. 기존 AV·EDR이 정상 프로세스가 로드하는 모든 DLL을 세밀히 검증하지 않기 때문.

MITRE T1574.002

STAGE 04 · C2 통신 + 정보 유출

장기 잠복 + 클라우드 기반 유출

감염 후 공격자 C2 서버와 주기적 통신. 키로깅·스크린샷·문서 수집 등 정찰 활동을 거쳐 최종적으로 클라우드 스토리지를 경유해 자료 유출. 공격 탐지 없이 수개월 간 지속되는 경우가 많다.

MITRE T1041 · T1567

APT37의 2026년 진화 — SNS 정찰 + 클라우드 유출

2026년 보고된 새로운 캠페인에서 APT37은 페이스북과 텔레그램을 활용한다^[14]. 표적과 장기간 신뢰 관계를 SNS에서 형성한 뒤, 정상 문서 뷰어로 위장한 악성 설치 파일을 실행하도록 유도하는 방식이다. 공격이 이메일 한 통으로 끝나지 않고, 수 주~수 개월에 걸친 사회공학의 일부가 된다. 이 진화는 두 가지 시사점을 던진다. 첫째, 공격자가 점점 더 표적 맞춤화된다는 것. 둘째, 보안이 엔드포인트·메일 게이트웨이만으로는 부족하다는 것. SNS·개인 채널을 포함한 전방위 경계가 필요해진다.

4 HWP 공격 기법의 구조적 분류

공격 기법이 매번 새로워 보이지만, 실상은 소수의 구조적 벡터가 반복 조합된다. 방어자 입장에서는 이 구조적 분류를 이해하는 것이 개별 캠페인을 쫓는 것보다 훨씬 효율적이다.

기법	동작 방식	탐지 난이도	CDR 무력화
매크로 (VBA · 스크립트)	문서 열람 시 자동 실행	중	구조 제거
OLE 객체 임베드	정상 객체로 위장한 악성 콘텐츠	상	구조 제거
LNK 바로가기	클릭 시 외부 스크립트 실행	상	유형 제거
포스트스크립트	HWP 내 PS 코드 실행	상	구조 제거
MSC 관리 콘솔	정상 관리 도구 악용	상	부분
DLL 사이드로딩	정상 DLL 교체 주입	상	부분
외부 링크 자동 호출	문서 열람 시 외부 리소스 로드	중	링크 차단
HWPX 제로데이	포맷 파서 취약점 악용	최상	구조 기반 방어

이 표에서 중요한 관찰은 "탐지 난이도가 높은 기법일수록 CDR의 구조적 방어가 결정적"이라는 점이다. 탐지 기반 방어는 새 기법 등장 시마다 시그니처가 따라붙어야 하지만, CDR은 "실행 가능한 구조 요소 전체 제거"라는 원리로 작동하므로 기법 종류와 무관하다.

5 공공기관·언론·학계가 겪는 실제 위협 현실

수치로만 보면 위협의 심각성이 잘 드러나지 않는다. 실제 사례 몇 건을 살펴보자.

사례 1 — 논문 위장 HWP (2024년 ASEC 보고)

ASEC 분석팀이 확인한 사례다^[8]. 학술 논문으로 위장한 HWP 파일이 연구자들에게 배포됐다. "본 사례와 같이 이러한 APT 공격은 주로 대상자의 업무나 관심사와 관련된 내용으로 위장되어 있어, 사용자가 악성코드에 감염될 위험이 크다. 따라서 출처가 불분명한 파일은 실행을 자제하고, 파일의 확장자를 반드시 확인하는 등 각별한 주의가 필요하다." — ASEC의 결론이다.

이 사례가 보여주는 핵심은 "사용자 교육만으로는 한계가 분명하다"는 것. 연구자에게 논문 파일이 오면 의심하지 않는 것이 자연스럽다. 업무 맥락에 맞춘 미끼는 경계를 낮춘다. 시스템적 방어가 필요하다.

사례 2 — 강연 의뢰서 위장 HWP+MSC (2025년 ASEC 보고)

2025년 확인된 이 사례는 기법 진화를 보여준다^[9]. "최근 특정 사용자를 대상으로 하는 강연 의뢰서를 위장한 악성코드가 확인되었다. 유포 파일로는 한글 문서(HWP) 파일과 MSC 확장자 형식의 파일이 확인되었으며, 추가 악성 파일을 다운로드한다. 정상 문서로 위장하기 위한 디코이 문서 파일에는 개인..." 디코이(decoy) 문서가 결정적이다. 사용자가 HWP를 열면 정상 강연 의뢰서가 표시되므로 의심하지 않는다. 그 사이 백그라운드에서 MSC 파일이 다운로드·실행된다.

사례 3 — 아르테미스 작전 (2025년 12월 지니언스 공개)

앞서 상세히 다룬 아르테미스 작전이 대표적이다^[1]. HWP와 DLL 사이드로딩의 결합, 정부·방산 표적, 장기 잠복 — 이 조합이 "한국 타겟 APT의 현재 수준"을 상징한다.

⚠️ 공통점 3가지
업무 맥락 미끼 — 논문 · 강연 · 인터뷰 · 정책 자료 등 거부하기 어려운 미끼
디코이 + 백그라운드 실행 — 표면적으로 정상 문서, 뒤에서 다단계 실행
엔드포인트 탐지 우회 — DLL 사이드로딩 · 정상 프로세스 악용 · 파일리스 기법 조합

6 왜 탐지 기반 방어로는 부족한가

이 사례들을 분석하면 한 가지 결론이 반복된다 — 탐지 기반 방어로는 충분하지 않다.

시그니처 기반 AV: 알려진 악성 샘플만 탐지. Kimsuky·APT37은 변종을 지속적으로 생성 → 시그니처 등록 전 대량 유포
샌드박스: 가상환경 감지 + 시간차 실행 + 사용자 상호작용 조건 회피 기법에 취약. APT37의 DLL 사이드로딩은 샌드박스의 짧은 관찰 윈도우에서 특히 탐지 어려움
EDR/EPP: 엔드포인트 실행 이후의 반응 중심. 반입 시점의 예방은 커버 대상 아님
이메일 스팸 필터: 송신자 평판·URL 블랙리스트 기반. 정교한 사회공학 미끼·신규 도메인엔 한계

공통의 한계는 "알려진 것을 찾는다"는 전제다. APT 그룹은 이 전제를 정확히 공략한다. 새 변종·새 기법·새 미끼를 만들어 시그니처·학습 데이터를 앞서간다.

7 CDR이 HWP 공격에 구조적으로 유효한 이유

CDR(Content Disarm and Reconstruction)은 근본적으로 다른 접근이다. "이것이 악성인가"를 묻지 않고 "이것이 실행 가능한 요소인가"만 본다. HWP 파일이 들어오면 무해화 엔진이 파일을 분해해 OLE · LNK · 포스트스크립트 · 매크로 · 외부 링크 자동 호출 로직 등 실행 가능한 요소를 유형 기준으로 제거한다. 제거 후 원본 가독성을 유지한 안전 버전으로 재조립해 전달한다.

✅ CDR이 APT 공격에 구조적으로 작동하는 이유

제로데이 무관 — 알려지지 않은 취약점 기반 공격도 실행 요소를 제거하면 무력화
회피 기법 무효 — 가상환경 감지 · 시간차 · 상호작용 조건은 실행 자체가 없으면 작동 안 함
변종 무관 — 새 캠페인·새 미끼·새 패밀리가 나와도 구조 기반 제거는 동일 원리로 작동
대량 실시간 — 파일당 평균 34ms^[4]의 처리 속도로 게이트웨이 배치 가능
한국 포맷 특화 — HWP · HWPX · 한컴오피스 포맷의 OLE 스트림 · 임베디드 객체까지 지원^[3]

시큐레터의 MARS 엔진 + SLCDR 조합에서는 이 구조가 더욱 강력해진다. MARS가 정적 리버스엔지니어링으로 위협 정보를 분석·기록하고(감사 증적 축적), SLCDR이 무해화를 수행한다. 공공기관·언론사·학계 환경에서 "어떤 HWP 파일이 어떤 위협을 포함했는지"의 장기 인텔리전스가 자동 축적되는 구조다.

8 조직별 방어 설계 권고

조직의 노출도와 표적 가능성에 따라 방어 설계가 달라진다.

조직 유형	표적 우선도	권고 구성
최상 외교·안보·방산	Kimsuky + APT37 중첩 표적	SLE+DISARM(메일) + SLF(망연계) + SLCDR(웹·협업) + ConTI(위협인텔) 통합
최상 정부·공공기관	N2SF 대응 + APT 타깃	상동 + N2SF CDS 게이트웨이 통합 + 감사 증적 자동화
상 언론·미디어·싱크탱크	APT37 주요 표적	SLE+DISARM(메일) + 개인 단말 CDR 게이트 + 외부 전문가 교류 파일 통제
상 금융·대기업 CISO	공급망 + 스피어피싱 표적	SLE+DISARM + SLCDR(웹) + 공급망 파트너 수신 파일 무해화
중 학계·연구기관	논문 위장·학회 미끼	SLE+DISARM(메일) + 공동연구 파일 공유 게이트 CDR

9 담당자 실무 체크리스트

HWP 공격 대응 체크리스트

이메일 게이트웨이에 CDR이 배치되어 있는가HWP 첨부파일이 수신 즉시 무해화되는지 확인
1차 방어선
HWP·HWPX 포맷 완전 지원 CDR 엔진인가글로벌 벤더는 HWP 지원이 부분적인 경우 많음
국내 특화 검증
OLE·LNK·포스트스크립트·MSC 모두 제거 대상에 포함되는가단순 매크로 제거만으로는 부족
기법 커버리지
외부 전문가·파트너 수신 파일도 동일 무해화를 거치는가신뢰된 외부도 공급망 공격 경로 가능
공급망 방어
MARS 같은 분석 엔진이 함께 연동되어 있는가위협 인텔 축적 + 감사 증적 확보
분석 + 무해화 조합
SNS·개인 채널 경유 파일 유입 경로는 파악되었는가APT37의 SNS 정찰 트렌드 대응
전방위 경계
사용자 대상 위장 미끼 교육이 정기적인가"출처 불분명 파일 실행 자제"의 실무 반복 교육
사용자 레이어
Kimsuky·APT37 주요 IoC가 위협 인텔에 반영되어 있는가ConTI·외부 TI 피드 연동 상태 확인
탐지 레이어
감사 로그에 제거된 객체 유형·처리 시간이 기록되는가사후 감사·포렌식 대응 준비
증적 레이어
신규 기법(MSC·DLL 사이드로딩) 관찰 시 대응 채널이 있는가Genians·ASEC·KISA 보고서 모니터링 루틴
위협 추적 루틴

10 자주 묻는 질문 (FAQ)

Q1. HWP 악성코드가 정말 그렇게 많이 발견되나요?

ASEC · Genians · KISA · 국가정보원 등 국내 주요 보안 기관이 매월 다수의 HWP 악성코드 분석 리포트를 공개한다^[2]^[5]. 2022년부터 2025년까지 공개된 사례만 수십 건에 달하고, 공개되지 않은 내부 탐지 사례는 그 몇 배에 달할 것으로 추정된다. 한국 타겟 APT의 주력 벡터라 해도 과언이 아니다.

Q2. 글로벌 CDR 벤더는 HWP를 지원하지 않나요?

일부 글로벌 벤더가 HWP 지원을 주장하지만 실제로는 "단순 검사" 수준에 머무는 경우가 많다. HWP는 OLE 복합 문서 기반이고 내부 구조가 복잡해, 한국 포맷에 특화된 파서 없이는 임베디드 OLE · 포스트스크립트 · LNK 등 세밀한 요소까지 해부하기 어렵다. 공공기관·공공 레퍼런스에서 국내 벤더가 선호되는 이유다.

Q3. 사용자가 HWP를 열지 않으면 되는 것 아닌가요?

이론상 그렇지만 공공·학계·언론 환경에서 HWP는 업무의 표준이다. 정책 자료 · 논문 · 공문 · 계약서가 모두 HWP로 오간다. "열지 않기"가 업무 중단을 의미한다. 대신 "HWP를 안전하게 열 수 있는 환경"을 만드는 것이 현실적 해결책이며, 그것이 CDR의 역할이다.

Q4. CDR로 무해화된 HWP는 원본과 같은가요?

바이너리 수준에서는 다르지만 사용자가 열면 동일한 텍스트 · 표 · 이미지 · 서식을 본다. 위험 요소인 OLE · LNK · 매크로 · 외부 링크 자동 호출만 제거된다. Gartner의 CDR 정의가 "원본의 구조와 가독성 보존"을 필수 요건으로 규정하며, TTA GS 인증에서 이 품질이 평가된다.

Q5. MSC 관리 콘솔 공격은 어떻게 막나요?

MSC는 Microsoft 정상 관리 도구이므로 CDR의 "실행 콘텐츠 유형 제거" 기본 대상에 자동 포함되지는 않는다. 다만 HWP/ZIP 내부에 MSC 파일이 임베드된 경우 정책적으로 제거 대상에 추가할 수 있다. 시큐레터 SLCDR · SLF는 이 정책 설정을 지원하며, MARS 엔진의 정적 분석과 결합해 MSC 포함 파일을 사전 진단한다.

Q6. DLL 사이드로딩은 CDR로 막을 수 있나요?

CDR은 "파일 반입 시점"의 보안이다. 문서에 임베드된 실행 요소는 제거하지만, 사용자 엔드포인트에서 이미 정상 프로세스가 DLL을 교체 로드하는 시점은 CDR의 영역이 아니다. 이 지점은 EDR · 애플리케이션 제어 솔루션의 역할이다. CDR이 "들어올 때 안전하게"를 담당하면 EDR이 "엔드포인트에서의 이상 행동"을 담당하는 식의 계층 방어가 표준이다.

Q7. 위협 인텔리전스 구축은 어떻게 해야 하나요?

시큐레터는 ConTI (Content Threat Intelligence)를 자체 제공한다. MARS 엔진이 분석한 위협 정보, 외부 TI 피드, 국내 보안 기관 발표 등을 통합해 조직 맞춤형 위협 인텔로 운영 가능하다. 내부적으로는 ASEC · Genians · KISA 등의 공개 리포트를 주기적으로 모니터링하는 루틴이 함께 권장된다.

Q8. 사용자 교육만 강화하면 되지 않을까요?

사용자 교육은 필수지만 한계가 분명하다. Kimsuky·APT37의 미끼는 업무 맥락에 맞춰 정교화되어 있어 훈련된 사용자도 속는 경우가 있다. 또한 "인터뷰 요청"이나 "논문 파일" 같은 미끼는 거부가 업무 손실을 뜻한다. 교육은 최후의 방어선이고, 그 앞에 시스템적 방어가 다층으로 깔려야 한다.

✓ 결론 — 공격은 바뀌어도 원리는 같다

2013년 Kimsuky가 처음 관찰된 이래 13년이 흘렀다. 그 사이 기법은 여러 번 진화했다 — 단순 매크로에서 OLE로, OLE에서 LNK로, LNK에서 MSC로, 그리고 DLL 사이드로딩으로. 하지만 구조적 원리는 거의 변하지 않았다. 사용자가 열 만한 문서로 위장 → 실행 가능한 콘텐츠 임베드 → 다단계 페이로드 → 장기 잠복과 유출.

방어도 마찬가지다. 탐지 기반으로 쫓아가는 한 매번 뒤처진다. 새 변종·새 기법이 시그니처보다 빠르게 나타나기 때문이다. 반면 CDR의 구조적 접근은 기법의 변화와 무관하게 작동한다. "실행 가능한 요소를 구조적으로 제거"한다는 원리 자체가 공격자의 혁신에 영향받지 않는다.

한국 조직이 HWP를 포기할 수 없고, 공격자가 HWP를 포기할 이유도 없다. 이 구조적 비대칭을 메우는 것이 CDR이다. 2026년 N2SF 시행과 망분리 완화로 HWP가 다닐 경로가 오히려 늘어나는 지금, 콘텐츠 수준 방어의 중요성은 더욱 분명해진다.

귀 조직의 HWP 위협 노출도를 함께 진단합니다

실제 수신 HWP 샘플 기반 탐지·무해화 테스트, Kimsuky·APT37 IoC 매칭, 감사 증적 자동화 설계까지 지원합니다.

HWP 위협 진단 신청 → 공공·언론·학계·금융 맞춤형 구성 · ConTI 위협 인텔 연동 · 공공 레퍼런스 열람

REFERENCES

연합뉴스, 한글파일 열었더니 감염…북한 해킹 '아르테미스' 포착, 2025.12.22 — yna.co.kr.
ASEC (AhnLab Security Emergency response Center), Kimsuky 조직 악성 HWP 한글 문서 유포 — asec.ahnlab.com/ko/1253.
SecuLetter Inc., Ensecure v2 — SecuLetter at a Glance, 2025.12.17 (75% 이메일 벡터 · 309 file formats · KISA 100% 근거).
SecuLetter Inc., DISARM Solution Introduction KO, 2025.06.13 (평균 무해화 34ms 근거).
KISA 한국인터넷진흥원, 악성코드 분석 보고서 — 한글 문서 취약점 · Kimsuky APT — kisa.or.kr.
Genians, 김수키(Kimsuky)그룹의 'BlueShark' 위협 전술 분석 — genians.co.kr.
ASEC, 한글 문서 파일을 위장한 악성코드 (Kimsuky) — asec.ahnlab.com/ko/54473.
ASEC, 논문파일을 위장한 악성코드 유포 주의 (Kimsuky 그룹) — asec.ahnlab.com/ko/88419.
ASEC, 강연의뢰서로 위장한 Kimsuky 그룹 악성코드 (MSC, HWP) — asec.ahnlab.com/ko/83239.
Malware News, Kimsuky KB국민은행 사칭 HWP LNK 분석 — malware.news.
Genians, 외신 인터뷰 의뢰 사칭 김수키 공격 — 2분기 HWP+OLE·LNK·MSC 동향 — genians.co.kr.
ASEC, Kimsuky HWPX 위탁교육생 선발 사칭 공격 — asec.ahnlab.com.
보안뉴스, "한글파일 열었더니 해킹" 北 연계 APT37 '아르테미스' 공격 포착 — boannews.com.
데일리시큐, 북한 해킹그룹 APT37, SNS 정찰·변조 설치파일·클라우드 유출 결합 — dailysecu.com.

위협 인텔리전스 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청