스피어피싱 공격 흐름도 (출처: Genians)

스피어피싱과 XenoRAT 악성코드

스피어피싱 공격은 특정 대상에게 맞춤형 이메일을 보내 악성 ZIP 파일 다운로드를 유도하고 그 안의 LNK 파일을 통해 PowerShell 스크립트를 실행하게 하는 방식으로 진행됩니다. 공격자는 사회공학적 기법을 사용해 정상적인 메시지나 문서를 가장하며, 피해자가 첨부 파일을 열도록 유도합니다. 이후 스크립트는 추가 악성 파일을 구글 드라이브에서 다운로드하고 예약 작업을 생성해 지속성을 확보하며, 최종적으로 XenoRAT과 같은 원격 제어 악성코드를 설치해 시스템 정보 수집과 원격 조종이 가능하도록 합니다.

XenoRAT은 오픈소스 기반의 RAT(Remote Access Trojan) 계열 악성코드로 공격자가 피해자 시스템에 원격으로 접속해 키로깅, 명령 실행, 파일 전송, 스크린샷, 비디오 캡처, 마이크 및 카메라 제어 등 다양한 활동을 수행할 수 있습니다. 또한 HTTPS 및 GitHub, Dropbox 등과 같은 정상 서비스를 활용한 은밀한 C2 통신으로 탐지 회피가 용이하며, 내부망 장악 후 랜섬웨어 및 정보 탈취 등 추가 공격에도 활용될 수 있 어 단순 악성코드가 아닌 고급 APT 공격용 툴킷으로 국제 보안 커뮤니티에서 분류되고 있습니다. 

개별 공격의 타임라인 (출처: Trellix)

공격에 사용된 피싱 이메일 (출처: Trellix)

외교관 타깃 XenoRAT 스피어피싱

2025년 3~7월 북한 연계 해킹 조직 ‘김수키’는 주한 외국 대사관 및 외교관을 겨냥해 정교한 스피어피싱 캠페인을 진행했습니다. 공격자는 외교 관계자나 정부기관을 사칭한 이메일을 발송하고 피해자가 악성 문서를 열거나 링크를 클릭하면 XenoRAT이 설치되어 시스템이 감염되었습니다. 일부 공격은 다국어 문서를 포함하여 외교관별 맞춤형 사회공학 기법이 적용되었습니다. 이러한 공격은 국내외 CERT와 보안업체가 공동 경보를 발령할 정도로 위협도가 높았습니다. 

감염 이후 공격자는 내부 문서, 이메일 계정 정보, 시스템 환경 데이터를 탈취해 C2 서버로 전송했고 필요시 HVNC를 통해 피해자 PC를 은밀히 원격 제어했습니다. 보안업체들은 공격에 사용된 GitHub 저장소, 악성 파일 해시, C2 도메인 등 IOC를 공개해 탐지 및 차단을 지원하고 있습니다. 이번 사례는 단순 정보 탈취를 넘어 장기적 내부망 침투와 지속적 감시가 가능한 APT 공격임을 보여줍니다.

결론

XenoRAT은 오픈소스 생태계를 활용하는 고위험 APT 공격 도구로 외교 및 국가 기관뿐 아니라 민간 기업까지 언제든 표적이 될 수 있으며, 단일 방화벽이나 백신만으로는 탐지와 방어가 어렵습니다. 공격자는 GitHub, Dropbox 등과 같은 정상 서비스를 활용해 은폐하며 장기적 내부망 침투가 가능하므로 다층적 보안체계 구축과 지속적 모니터링이 필수적입니다. 

위협 대응 및 보안 권고 사항

• 보안 프로그램 최신화 : 백신, EDR/XDR 등 보안 솔루션을 항상 최신 상태로 유지

• 외부 서비스 모니터링 : GitHub, Dropbox 같은 외부 트래픽을 주기적으로 확인해 이상 활동을 탐지 

• 중요 계정 보호 : 관리자 계정이나 중요한 시스템에는 MFA(다중 인증)적용

• 데이터 백업 : 중요한 데이터는 정기적으로 백업하고, 비상 시 복구할 수 있는 절차 마련

• 정기적인 교육 : 이메일 첨부파일이나 링크 클릭 전에 주의하도록 정기적인 훈련 시행