Realistic laptop screen showing a deceptive email interface with a document attachment, dramatic lighting, 4:3

APT28 마이크로소프트 오피스 취약점 대처법 3가지

by

러시아 국가 후원 해킹 그룹인 APT28이 최근 마이크로소프트 오피스 취약점을 악용해 전 세계 주요 기관을 공격하며 긴장감이 고조되고 있습니다. 보안 패치가 배포된 지 불과 48시간 만에 정교한 악성 코드를 유포하기 시작했는데, 개인과 기업 모두 보안 상태를 점검할 시점입니다.

사이버 공격을 시도하는 해커 그룹의 이미지

APT28 마이크로소프트 오피스 취약점이 무서운 이유

이번에 발견된 취약점은 CVE-2026-21509로 분류되었으며, 공격자들이 패치를 분석해 즉각적으로 공격 코드를 만들어냈다는 점이 놀랍더라고요. 해커들은 외교, 해운, 운송 분야를 타깃으로 삼아 매우 치밀하게 접근했습니다.

공격이 무서운 이유는 다음과 같았어요.

  • 보안 패치 공개 후 이틀 만에 무기화 완료
  • 엔드포인트 보안 시스템이 감지하기 어려운 메모리 상주 방식 사용
  • 신뢰할 수 있는 정부 계정을 탈취하여 피싱 메일 발송

이들은 탐지를 피하기 위해 페이로드를 암호화하고 정상적인 클라우드 서비스인 filen.io를 명령 제어 채널로 활용하는 교묘함을 보였습니다.

패치 후 48시간 만에 시작된 정교한 공격 방식

해커들은 마이크로소프트가 긴급 보안 업데이트를 발표하자마자 패치를 역공학하여 취약점을 찾아냈습니다. 72시간 동안 진행된 집중적인 스피어 피싱 캠페인을 통해 전 세계 9개국에 29개 이상의 고유한 이메일을 보냈다고 하더라고요.

공격 대상은 상당히 구체적이었습니다.

  • 국방부 관련 기관 (40%)
  • 운송 및 물류 운영사 (35%)
  • 외교 단체 (25%)

동유럽 국가인 폴란드, 슬로베니아, 우크라이나 등이 주된 목표였지만, 아랍에미리트와 볼리비아까지 공격 범위가 넓어진 것을 보면 전 세계 어디든 안전지대가 없다는 사실을 알 수 있었어요.

Realistic laptop screen showing a deceptive email interface with a document attachment, dramatic lighting, 4:3

마이크로소프트 오피스 취약점을 활용한 이메일 특징

해커들은 타깃이 이메일을 열어보게 만들기 위해 기존에 해킹한 다른 정부 기관의 계정을 사용했습니다. 평소 알고 지내던 담당자의 이름으로 메일이 오니 의심 없이 첨부파일을 열어보게 되더라고요.

이메일에 포함된 특징들은 다음과 같았습니다.

  • 신뢰할 수 있는 도메인에서 발신된 메일 형식
  • 긴급한 업무 협조나 공식 문서를 가장한 파일 첨부
  • 문서 실행 시 매크로 보안 설정을 무력화하도록 유도

특히 NotDoor라는 이름의 악성 백도어는 아웃룩의 매크로 보안 컨트롤을 비활성화한 뒤에 설치되는 구조였어요. 이후 받은 편지함이나 보낸 편지함의 데이터를 수집해 해커의 서버로 전송하는 작업을 수행했습니다.

새로운 백도어 BeardShell과 NotDoor의 실체

이번 캠페인에서 발견된 BeardShell과 NotDoor는 기존에 볼 수 없던 새로운 형태의 악성 프로그램이었습니다. 파일이 하드 디스크에 남지 않는 파일리스 기법을 사용하여 포렌식 분석을 어렵게 만들었더라고요.

주요 작동 방식은 이랬어요.

  • BeardShell: 윈도우의 정상 프로세스인 svchost.exe에 침투하여 시스템 정찰 수행
  • NotDoor: 이메일 메시지를 .msg 파일로 묶어 클라우드 서비스로 유출
  • 흔적 삭제: 보낸 편지함에서 유출된 메일 기록을 자동으로 삭제하여 사용자가 모르게 처리

이런 방식은 일반적인 보안 솔루션으로는 잡아내기 힘든 수준이라 관리자들의 주의가 깊게 요구되는 상황이었습니다.

클라우드 서비스를 통한 데이터 유출 과정

취약점 노출을 피하기 위해 지금 해야 할 보안 설정

가장 중요한 대응은 마이크로소프트에서 제공한 긴급 보안 업데이트를 최우선으로 적용하는 것입니다. APT28 같은 그룹은 패치가 안 된 시스템을 즉시 찾아내기 때문에 단 몇 시간의 지연이 치명적인 결과로 이어질 수 있더라고요.

다음 예방 수칙을 따르는 것이 좋았어요.

  1. 오피스 업데이트 설정에서 ‘최신 버전’ 확인 및 설치
  2. 신뢰할 수 없는 출처의 매크로 실행 절대 금지
  3. 중요한 계정에는 반드시 다요소 인증(MFA) 활성화

또한 클라우드 서비스로의 비정상적인 데이터 전송이 있는지 네트워크 트래픽을 모니터링하는 것도 좋은 방법입니다. 정상적인 서비스라도 내부 규정에 없는 클라우드 통신은 차단하는 것이 안전하겠죠.

조직의 보안 네트워크를 강화하는 실질적인 방법

단순히 패치만으로는 부족한 경우가 많습니다. 해커들이 메모리 기반 공격을 선호하는 만큼, 시스템 메모리 내에서 벌어지는 비정상적인 동작을 감지할 수 있는 최신 보안 솔루션을 도입하는 것이 필요해 보였습니다.

보안 강화를 위한 실천 방안입니다.

  • 화이트리스트 기반의 애플리케이션 실행 제어 도입
  • 정기적인 보안 인식 교육으로 피싱 메일 판별 능력 강화
  • 시스템 로그 및 트래픽 분석을 통한 이상 징후 조기 포착

기술적인 보안도 중요하지만 구성원들이 보안 정책을 잘 따르는 문화가 뒷받침되어야 APT28과 같은 고도화된 위협을 막아낼 수 있더라고요.

Close-up of a person clicking an update button on a modern computer screen, bright and balanced lighting, 4:3

사이버 위협에 대응하는 우리의 자세

사이버 공간에서의 전쟁은 보이지 않는 곳에서 쉼 없이 일어나고 있습니다. 이번 APT28 마이크로소프트 오피스 취약점 사례는 패치 속도가 보안의 핵심이라는 점을 다시 한번 일깨워 주었습니다. 작은 업데이트 하나가 소중한 정보 자산을 지키는 든든한 방패가 된다는 사실을 잊지 마세요. 지금 바로 사용 중인 오피스 프로그램의 업데이트 상태를 점검해 보는 건 어떨까요?

출처: https://arstechnica.com/security/2026/02/russian-state-hackers-exploit-office-vulnerability-to-infect-computers/

이어서 보면 좋은 글

#APT28 #마이크로소프트오피스취약점 #CVE-2026-21509 #사이버보안 #해킹대응 #러시아해커 #보안업데이트 #백도어방지 #정보보안 #네트워크보안

Leave a Comment

error: Content is protected !!