1. 서론: 왜 APT Down 리포트가 중요한가
APT 공격 리포트는 많다. 하지만 APT Down – The North Korea Files는 독특하다.
- 공격자가 실제 사용하던 개인 계정, Chrome 브라우저 히스토리, VMware 공유 폴더까지 드러난다.
- 북한 해커 그룹(Kimsuky 계열 추정)의 **“삶의 흔적”**이 분석되며, 단순 기술 보고서를 넘어선다.
- 실무 보안 담당자에게는 실제 공격자 뇌 속을 들여다본 듯한 자료다.
APT Down은 단순 IOC 리스트가 아니다. 공격자가 어떻게 생각하고, 어떤 실수를 하며, 어떤 툴을 직접 다뤘는가까지 추적할 수 있다.
2. 국방부 방첩사 공격 사례 (dcc.mil.kr)
리포트 초반은 국방부 방첩사(dcc.mil.kr) 피싱 로그로 시작한다.
- 피싱 서버:
vps/var/www/html/ - 대상 이메일 다수:
jandy3912@dcc.mil.kr,di031111@dcc.mil.kr,didcdba@dcc.mil.kr…
로그 예시:
grep -Fhr 'dec.mil.kr' log | uniq
jandy3912@dcc.mil.kr_amFuZHkzOTEyQGRjYy5taWwua3I=
di031111@dcc.mil.kr_ZGkwMzExMTFAZGNjLm1pbC5rcg==
여기서 amhjZ29k0DhAZGNjLm1pbC5rcg== 같은 값은 Base64 인코딩된 이메일 계정이다.
즉 공격자는 직접 계정 정보를 수집하고 암호화(단순 인코딩)해 저장했다.
👉 실무 해석
- 공격자는 단순 계정 수집을 넘어 기관 내부 인증 체계를 장악하려 했다.
- 방첩사는 대북 첩보를 다루는 조직 → 공격 목적은 “대북 반첩보 작전 방해”.
- 보안 담당자라면: 이메일 서버에 대한 외부 로그인 시도를 24시간 이상 모니터링하고,
Base64 패턴 로그를 IOC로 등록해야 한다.
3. 외교부 이메일 플랫폼 유출 정황
리포트에 등장하는 mofa.go.kr.7z 압축 파일에는 외교부 이메일 플랫폼 전체 소스코드가 포함되어 있었다.
kebi-core/,kebi-web-mail/,kebi-web-admin/,kebi-web-archive/…- 빌드 관리 파일:
pom.xml,README.txt
이 구조를 보면, Spring 기반 웹메일 시스템임을 추측할 수 있다.
kebi-batch/: 메일 스케줄러/발송 모듈kebi-web-mail/: 사용자 웹메일 UIkebi-web-admin/: 관리자 콘솔 → 공격자는 내부 메일 계정 생성·삭제·로그 조회 권한을 획득할 수 있었을 가능성
👉 실무 해석
- 외교부 메일 시스템 코드가 유출되면, 제로데이 취약점 발굴이 가능하다.
- 예: 잘못된
Input Validation,SSRF,File Upload 취약점을 내부에서 분석 후 맞춤형 익스플로잇 제작. - 방어 포인트: 모든 공공기관은 개발·운영 저장소 접근을 별도 관리해야 하며,
소스코드 보안(Static/Dynamic 분석)을 정기적으로 수행해야 한다.
4. 공격 인프라와 Chrome 흔적 분석
리포트는 “KIM”이 사용한 Chrome 설정 파일을 공개했다.
발견된 URL 리스트에는 다음이 포함된다:
https://accounts.google.com:443https://pay.google.com:443, https://*.purevpn.comhttps://*.zoogvpn.comhttps://*.wwh1004.github.iohttps://*.reversecoding.nethttps://*.freebuf.com
👉 의미
- 공격자는 Google 계정을 활용해 VPN을 결제했다.
- GitHub 계정(
wwh1004)을 통해 코드 관리 및 자료 검색. - Freebuf, xaker.ru 등 해킹 포럼을 탐색 → 최신 공격 기법 학습.
👉 실무 해석
- 공격자는 생활 속에서 Google·VPN·GitHub를 섞어 사용한다.
- 보안팀은 해외 VPN 결제/로그인 기록을 인텔 소스로 활용해야 한다.
5. VMware Drag&Drop에 남은 아티팩트
폴더:
work/home/user/.cache/vmware/drag_and_drop/
발견 파일:
- Cobalt Strike 로더
- Powershell 리버스쉘
- Onnara 모듈(한국 정부망 우회용)
즉 공격자는 VM 내부에서 개발한 악성코드를 Drag&Drop으로 옮겨 실제 공격 환경에 배포했다.
👉 실무 해석
- Drag&Drop 기능은 망분리 환경을 뚫는 “백도어”다.
- 기관 내부 규정에 반드시 Drag&Drop 차단 정책을 포함해야 한다.
6. Bash History가 드러낸 내부 침투 흔적
bash_history에서 발견된 기록:
- 내부 IP로 SSH 접속
- 로컬 네트워크 탐색 흔적
이는 단순 피싱에 그치지 않고, 내부 lateral movement가 실행 중이었음을 보여준다.
👉 실무 해석
- 공격이 장기간 진행되었음을 의미.
- 보안팀은 SSH 접속 이력 + 내부 네트워크 탐색 흔적을 위협 헌팅 기본 IOC로 삼아야 한다.
7. Generator.php 피싱 툴킷의 구조와 동작 원리
config.php:
- 보안업체 IP 차단 목록 포함 (TrendMicro, Google, MS)
- 특정 국가 IP 차단 → 공격 대상 한정
generator.php:
- 원격 관리자 인터페이스
- 쿠키 기반 접근 (패스워드 우회 가능)
👉 실무 해석
- 피싱 사이트가 단순 정적 HTML이 아니라 **“자동화된 툴킷”**임을 의미.
- SOC는 단순 페이지 접근이 아닌, 백엔드 스크립트 접근 흔적을 IOC로 등록해야 한다.
8. 맞춤형 악성코드 샘플 분석
발견 파일:
voS9AyMZ.tar.gzBlack.x64.tar.gzpayload.binpayload_test.bin
VirusTotal에 없는 샘플 → 공격자가 직접 빌드한 맞춤형 악성코드.
- 파일명에서 테스트 버전(
payload_test.bin) 존재 → 공격자가 실험 단계에서도 실제 환경에 배포했음을 시사.
👉 실무 해석
- 시그니처 탐지로는 절대 방어 불가.
- 행위 기반 탐지(Behavior Detection) 필요.
9. 공격자의 생활 패턴과 OPSEC 평가
리포트는 공격자 “KIM”을 이렇게 평가했다:
“He is currently clean on OPSEC.”
즉 큰 실수는 없지만, Chrome 히스토리·VMware 흔적 등 작은 단서들이 있었다.
이는 공격자가 철저히 은폐하려 했으나, 생활 습관까지 감출 수는 없었다는 의미다.
10. MITRE ATT&CK 매핑: Kimsuky의 전술·기술
- Initial Access: Spearphishing Link (T1566.002)
- Execution: PowerShell (T1059.001)
- Persistence: Valid Accounts (T1078)
- Defense Evasion: Obfuscation (T1027)
- Credential Access: Phishing (T1566)
- Discovery: Account Discovery (T1087)
- Lateral Movement: SSH Hijacking (T1563.001)
- Exfiltration: Exfiltration Over Web Service (T1567.002)
11. 실무 보안 대응 전략
- 위협 인텔리전스 공유
- MITRE ATT&CK 기반 TTP 매핑
- CERT·금융보안원과 IOC 실시간 공유
- 방어 아키텍처 강화
- Drag&Drop 차단
- MFA 전면 도입
- AI 기반 URL 탐지
- 실습형 보안 교육
- 피싱 페이지 제작 → 로그 분석 → IOC 등록
- Unknown Binary 샘플 샌드박스 분석
12. 보안 교육/훈련 시나리오 예시
- 훈련 A: 피싱 메일 클릭 → 로그 분석 → IOC 도출
- 훈련 B: 맞춤형 악성코드 샘플 실행 → C2 패턴 탐지
- 훈련 C: VMware Drag&Drop 차단 정책 검증
13. 결론: APT Down이 던지는 교훈
APT Down은 단순 사건 보고서가 아니라, 공격자의 일상까지 기록한 생생한 자료다.
보안 실무자는 이를 통해 APT 대응 훈련, 위협 인텔리전스 강화, 보안 아키텍처 개선을 동시에 달성할 수 있다.