히큐리티(Hecurity)
[2026-06-16] "MS 보안팀입니다" 메일 눌렀다가…PC 화면·키보드·마이크까지 털려 본문
오늘의 뉴스클리핑의 이슈는 바로 MS 사칭 피싱입니다 - !

MS 사칭 피싱
마이크로소프트(MS) 보안팀을 사칭한 이메일로 한국 사용자 PC에 침투하는 신종 악성코드 나왈랫(NarwhalRAT)이 발견됐다. 국내 보안기업 지니언스에 따르면 북한 연계 해킹조직 APT37의 소행으로 의심되며, 한국 사용자를 겨냥해 유포되고 있는 것으로 파악됐다. 공격은 MS 계정 보안 경고처럼 보이는 메일에서 시작되는데, MS 계정에서 일회용 인증코드가 반복 생성되는 이상 징후가 감지됐다는 내용을 담았고 발신자명은 Microsoft 계정 팀으로 표시되지만 실제 발신 도메인은 MS 공식 도메인이 아닌 것으로 확인됐다. 이 악성코드는 공격자의 원격 명령에 따라 키보드 입력 기록, 화면 캡처, 마이크 녹음, USB 저장장치 파일 수집, 원격 명령 실행 등 30종 이상의 기능을 선택적으로 실행할 수 있어 피해자 PC를 사실상 장악할 수 있다.
APT37
1) 북한 연계 국가배후 해킹조직
2)RedEyes, Group123으로도 불리며 주로 대북 분야 종사자와 한국 사용자를 겨냥한 스피어피싱을 수행
공격과정 1 : 메일 사칭부터 악성코드 설치까지
공격은 MS 계정 보안 경고로 위장한 스피어피싱 메일에서 출발한다. 메일은 계정 탈취 가능성을 언급하며 첨부된 보안 안내문을 확인하라고 유도하고, 사용자가 압축파일을 풀면 한글 문서처럼 보이는 악성 바로가기 파일이 나타난다. 겉으로는 안내문 문서가 첨부된 것처럼 보이지만 실제로는 압축파일이며, 그 안에 문서로 위장한 바로가기 파일이 들어 있는 구조다. 이 바로가기 파일을 실행하면 정상적인 보안 안내 문서가 열린 것처럼 보이지만, 동시에 뒤에서 악성코드 설치가 진행된다. 즉 사용자에게는 정상 문서를 연 것처럼 안심시키면서, 화면 뒤에서 PC를 장악하는 악성코드를 심는 방식이다.
공격과정 2 : 한국 맞춤형 정보 탈취와 은밀한 전송
설치된 나왈랫은 한국 사용자 환경에 맞춰 정교하게 설계됐다. 악성코드는 설치 후 컴퓨터 내부에 naverwhale이라는 이름의 폴더를 작업 디렉터리로 만드는데, 이는 국내에서 많이 쓰이는 네이버 웨일 브라우저 이름으로 위장하려는 의도로 풀이된다. 악성코드 이름인 NarwhalRAT도 여기서 착안한 것이다. 또한 내부 코드에는 카카오톡 관련 창을 정보 수집 대상에서 별도로 처리하는 로직이 포함돼, 한국 사용자 환경을 고려해 설계된 정황이 확인됐다. 기능 측면에서는 단순 파일 탈취를 넘어선다. 피해자가 어떤 프로그램을 쓰고 어떤 서비스에 접속하며 무엇을 입력하는지 화면과 키보드 기록을 통해 파악할 수 있어, PC 사용 행태 전반을 들여다볼 수 있다. 탈취 방식도 탐지를 의식했다. 수집된 데이터는 즉시 외부로 전송되지 않고 먼저 작업 디렉터리에 임시 저장된 뒤 한꺼번에 전송되는데, 이는 실시간 네트워크 탐지를 피하기 위한 방식으로 풀이된다.
시사점
이번 공격은 신뢰도 높은 기관 사칭이 얼마나 효과적인 침투 수단인지를 보여준다. 전문가들은 MS나 포털, 금융회사 등 신뢰도 높은 기관을 사칭한 보안 경고 메일일수록 더 주의해야 한다고 조언하며, 발신자명만 보고 첨부파일을 열지 말고 실제 발신 도메인이 공식 주소인지 확인할 것을 강조한다. 특히 압축파일 안에 문서처럼 보이는 바로가기 파일이 들어 있을 경우 실행하지 않는 것이 안전하다. 또한 이번 공격이 지난해 5월 공개된 APT37의 파이썬 기반 백도어 공격 사례와 구조·수법 면에서 유사하다는 점, 미끼 문서 최종 저장자명이 Lailey로 동일하고 바로가기 파일 구조·배치파일 난독화·작업 스케줄러 기반 지속성 확보 방식이 상당 부분 일치한다는 점에서, 동일 조직이 검증된 수법을 반복·재활용하고 있음을 짐작할 수 있다.
개인의견
관제 관점에서 이번 나왈랫이 까다로운 건, 탐지 포인트가 전통적인 시그니처·파일 기반 룰에 잘 걸리지 않는 지점에 몰려 있다는 점이다. 메일은 정상 발신자명으로 위장하고, 첨부는 압축파일 속 바로가기라 메일 게이트웨이를 한 겹 우회하며, 사용자가 직접 압축을 풀고 실행하는 능동적 행동이 끼어 있어 자동 차단이 어렵다. 결국 관제센터 입장에선 정상처럼 보이는 행위의 비정상 연쇄를 잡아야 하는데, 이건 룰 한두 개로 끝나는 문제가 아니라 EDR 기반의 행위 상관분석이 전제돼야 한다. 따라서 SOC 차원의 실질적 탐지 우선순위는 명확하다. 압축파일 내부에서 실행된 바로가기 파일, 그 바로가기가 스크립트나 PowerShell을 자식 프로세스로 띄우는 비정상 프로세스 트리, 그리고 정상 폴더명(naverwhale 등)으로 위장한 작업 디렉터리 생성이 핵심 단서다. 여기에 수집 데이터를 즉시 보내지 않고 모아뒀다 한꺼번에 전송하는 방식까지 고려하면, 네트워크단에서는 평소와 다른 대용량 일괄 업로드나 비정상 외부 통신 패턴을 모니터링 룰로 잡아두는 게 유효하다. 운영 측면에서 한 가지 더 강조하고 싶은 건, 이번 공격이 지난해 사례와 수법이 거의 일치한다는 사실이다. 이는 곧 과거 캠페인에서 확보한 TTP와 IOC를 탐지 룰·위협 인텔리전스로 자산화해 두면 변종 대응 속도를 크게 높일 수 있다는 의미다. 단발성 차단으로 끝낼 게 아니라, 관제 룰셋과 플레이북에 APT37 계열 패턴(LNK→BAT→PowerShell 체인, 작업 스케줄러 지속성, 클라우드 보조 채널 통신)을 상시 반영해 두는 선제적 운영이 결국 대응의 핵심이라고 본다.
기사출처 : https://www.hankyung.com/article/2026061563357
"MS 보안팀입니다" 메일 눌렀다가…PC 화면·키보드·마이크까지 털려
"MS 보안팀입니다" 메일 눌렀다가…PC 화면·키보드·마이크까지 털려, 이송렬 기자, IT/과학
www.hankyung.com
참고 자료 : https://www.genians.co.kr/blog/threat_intelligence/narwhalrat
MS 사칭 피싱과 Dead-drop C2 기반 APT37 NarwhalRAT 분석
최근 Compiled Python 기반 악성코드가 지속적으로 유포되고 있습니다. 공격자는 보안 안내문으로 위장한 ZIP 파일과 악성 LNK를 통해 PowerShell·Batch 명령을 실행하고, 최종적으로 NarwhalRAT를 설치하는
www.genians.co.kr
'뉴스클리핑✂️' 카테고리의 다른 글
| [2026-06-18] 한국형 AI 보안연합 캐노피 출범 (0) | 2026.06.18 |
|---|---|
| [2026-06-17] 악성 JetBrains Marketplace 플러그인이 개발자로부터 AI API 키를 탈취 (0) | 2026.06.17 |
| [2026-06-15] GitHub Actions 태그가 악성 커밋으로 변경… CI/CD 인증키 유출 위험 (0) | 2026.06.15 |
| [2026-05-21] GitHub Actions 태그가 악성 커밋으로 변경… CI/CD 인증키 유출 위험 (0) | 2026.05.21 |
| [2026-05-20] NGINX 치명적 결함 발견 (0) | 2026.05.20 |
