2026년 1월 APT 공격 동향 보고서(국내)
개요
안랩은 자사 인프라를 활용하여 국내 타겟의 APT(Advanced Persistent Threat) 공격에 대한 모니터링을 진행하고 있다. 본 보고서에는 2026년 1월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다.
그림 1. 2026년 1월 APT 국내 공격 통계
국내에서 확인된 APT 공격의 대부분은 Spear Phishing 방식으로 유포된 것으로 나타났다. 특히 2026년 1월에는 LNK 파일을 활용한 공격 비중이 가장 높았다. 또한 Exploit을 활용한 공격도 확인되었다.
APT 국내 공격 동향
2026년 1월에 확인된 APT 국내 공격의 침투 유형별 사례 및 기능은 다음과 같다.
1) Spear Phishing
Spear Phishing이란, 특정 개인이나 집단을 대상으로 하는 피싱 공격의 일종이다. 일반적인 피싱과 달리, 공격자는 공격을 수행하기 전 정찰 단계를 통해 공격 대상자에 대한 정보를 수집하고 파악한다. 공격자는 수집된 정보를 활용하여 피싱 이메일을 제작하기 때문에 해당 메일을 수신 받은 사용자는 신뢰할 수 있는 이메일로 판단할 확률이 높다. 또한, 이메일 스푸핑을 통해 발신자 주소를 위조하는 사례도 존재하며, 대부분의 Spear Phishing은 이메일 내 악성 첨부 파일 또는 악성 링크를 포함 후 사용자의 실행을 유도한다.
해당 기법을 활용하여 유포된 유형은 다음과 같다.
1.1 LNK를 활용한 공격
Type A
해당 유형은 AutoIt 악성코드를 다운로드하는 유형이다. LNK 파일에 포함된 악성 파워쉘 명령어 실행 시 외부 URL에 접속하여 추가 파일을 다운로드한다. 이 과정에서 curl.exe 프로그램을 다른 파일명(WpqNoXz.exe 등)으로 복사한 후 실행하는 것이 특징이다. 최종적으로 정상 AutoIt 프로그램과 악성 AutoIt 스크립트가 다운로드 되며 다운로드 된 파일을 작업 스케줄러에 등록하여 지속적으로 실행될 수 있도록 한다. 악성 AutoIt 스크립트는 명령어 실행, 디렉토리 조회, 파일 업로드, 파일 다운로드 기능을 수행할 수 있다.
확인된 파일명은 다음과 같다.
|
파일명 |
|---|
| (이슈분석, 2026-01-05) 2025년 중국 정세 회고와 전망.docx.lnk |
| 01_다큐멘터리 (임마누엘)제작기획서.pdf.lnk |
| Finished.pdf.lnk |
| 그 마을에 가고 싶다_시놉시스.hwp.lnk |
| 유튜브 캠페인 유료 파트너십 제안.docx.lnk |
| 해외 순방 공연 협력 제안서.pdf.lnk |
표 1. 확인된 파일명
Type B
해당 유형은 윈도우에 기본 탑재된 curl.exe를 이용해 악성 HTA 파일을 %TEMP% 폴더에 다운로드 및 실행한다. 악성 HTA 파일은 공격자가 운영하는 Github 저장소 또는 Google 드라이브를 통해 유포되며, 디코이 파일과 sys.dll 파일명을 가지는 다운로더를 생성한다. 해당 다운로더는 사용자의 시스템 정보, 주요 파일 목록, 가상 자산 관련 정보 등을 공격자에게 유출하는 인포스틸러 유형의 악성코드와 키로거, 공격자로부터 전달받은 명령어를 수행하는 백도어를 메모리에 로드한다.
확인된 파일명은 다음과 같다.
|
파일명 |
|---|
| shcard_202512.html.lnk |
| 국세 고지서.pdf.lnk |
| 암호.txt.lnk |
표 2. 확인된 파일명
