APT

2026년 5월 APT 공격 동향 보고서(국내)

6월 29 2026

개요

안랩은 자사 인프라를 활용해 국내 타겟 APT(Advanced Persistent Threat, 지속적으로 은밀히 진행되는 표적 공격) 공격을 모니터링했다. 본 보고서는 2026년 5월 한 달 동안 확인된 국내 APT 공격의 유형과 통계를 정리하고, 각 유형의 기능과 안랩 대응 현황을 다룬다.

APT 국내 공격 동향

국내에서 확인된 APT 공격의 대부분은 Spear Phishing(특정 개인이나 집단을 노리는 표적형 피싱) 방식으로 유포되었다. 특히 LNK 파일을 활용한 공격 비중이 가장 높았고, CHM 파일을 활용한 공격도 확인되었다.

Spear Phishing 기반 공격

Type A는 LNK 파일의 악성 PowerShell 명령으로 외부 URL에 접속해 추가 파일을 내려받고, AutoIt 악성코드를 실행한다. 작업 스케줄러를 등록해 지속성을 확보하며, 명령 실행, 디렉토리 조회, 파일 업로드, 파일 다운로드 기능을 수행한다.
Type B는 curl.exe(윈도우 기본 명령행 다운로드 도구)로 악성 HTA 파일을 %TEMP%에 내려받아 실행한다. GitHub 저장소 또는 Google 드라이브를 통해 유포되며, 인포스틸러(정보 탈취 악성코드), 키로거(키 입력 탈취 기능), 백도어를 메모리에 로드한다.
Type C는 LNK 내부의 PowerShell 코드가 Base64 데이터를 %temp%에 생성해 실행하고, GitHub 저장소에서 디코이 파일과 악성 스크립트를 내려받는다. 작업 스케줄러를 생성해 지속성을 확보하며, XenoRAT 유형의 악성코드를 배포하고 시스템 정보를 유출한다.
Type D는 LNK 내부의 XML, JS, PowerShell 스크립트로 데이터를 생성하고 작업 스케줄러를 등록한다. 이후 BAT 파일과 압축 파일을 거쳐 악성 Python 스크립트를 실행하고, 원격 명령 수행 및 파일 제어가 가능한 백도어를 실행한다.
Type E는 이력서나 문서 파일로 위장한 LNK에 디코이 파일과 악성 PowerShell 명령을 포함한다. VBS, BAT, PowerShell 스크립트를 생성해 작업 스케줄러에 등록하고, DLL Side-loading 기법으로 로더를 실행한 뒤 백도어를 정상 프로세스에 인젝션한다.
Type F는 LNK 파일의 CMD 및 PowerShell 명령으로 추가 파일을 내려받는다. curl.exe를 %TEMP%로 복사한 뒤 디코이 PDF와 BAT 다운로더를 실행하고, Python 패키지를 설치한 후 pythonw.exe를 위장해 작업 스케줄러에 등록한다. 최종적으로 Python 백도어가 공격자 서버의 명령을 실행하고 결과를 전송한다.
Type Unknown은 스피어 피싱으로 유포되었으나 앞선 유형에 포함되지 않는 사례다.

JSE를 활용한 공격

Type G는 %ProgramData% 경로에 악성 DLL과 디코이 문서를 생성하고, regsvr32.exe(윈도우 정상 도구)로 DLL을 메모리에 로드한다. 해당 DLL은 백도어 악성코드로 사용자 정보 탈취 등 악성 행위를 수행할 수 있다.

CHM을 활용한 공격

Type H는 CHM 도움말 파일 내부의 HTML 스크립트가 PowerShell 명령을 실행하고, Base64로 인코딩된 VBScript를 생성한 뒤 certutil.exe로 디코딩해 wscript.exe로 실행한다. 이후 외부 C2에 접속해 추가 스크립트를 수신 및 실행한다.

안랩 대응 현황

안랩 제품군은 이 위협 그룹과 관련된 여러 악성 행위를 다음 진단명으로 대응했다. Backdoor/Win.Agent.C5882829, Backdoor/Win.Mudsdoor.R773004, Downloader/LNK.Generic.SC314654, Downloader/PS.Agent, Downloader/PowerShell.Agent, Downloader/VBS.Agent.SC314574, Infostealer/Win.Agent.C5882827, Trojan/BAT.Agent.SC315175, Trojan/JS.Agent.SC314582, Trojan/JSE.Agent, Trojan/LNK.Agent, Trojan/LNK.Loader.SC315176, Trojan/Python.Agent, Trojan/VBS.Loader, Trojan/XML.Task, Trojan/XML.Schedule, Unwanted/Win.MeshCmd.R700828 등이다. 보고서는 최근 파악된 활동이라도 변형에 따라 진단되지 않을 수 있다고 밝혔다.

결론

국내 APT 공격은 업무 관련 내용으로 위장한 피싱 메일을 통해 시작되는 경우가 많았고, 악성코드는 LNK 파일과 각종 스크립트, 정상 도구를 결합해 백도어와 인포스틸러를 실행했다. 이로 인해 사용자 PC 정보 유출, 감염 시스템 제어 탈취, 추가 악성코드 업로드가 발생할 수 있다. 보고서는 발신자 확인, 출처가 불분명한 파일 열람 자제, 취약한 환경 설정 점검, OS 및 인터넷 브라우저 최신 패치 적용, V3 최신 버전 유지가 필요하다고 정리했다.

MD5

076a8a0ae0c7d6270070b297c8617e2e

0896485da9a470d504fbaad570b16358

090cfb95ce9ff312c501d7f43267f9ff

0d2e61c8a5e6280e065b61e75b848c68

12391f66ee33d379108fd649a999e1a0

URL

http[:]//newtech[.]dkcreatech[.]com[:]57877/

https[:]//aplore[.]kesug[.]com/repmay/airbe[.]txt

https[:]//aplore[.]kesug[.]com/riln[.]php

https[:]//drive[.]google[.]com/uc?export=download&id=116azn_9buov3mksorbpk8_4zivvnbhzn

https[:]//drive[.]google[.]com/uc?export=download&id=15xkvt3twcqjercuhsuandcigmvvxsfqr

FQDN

univercity[.]library[.]boxathome[.]net

update[.]nstlog[.]store

개요

APT 국내 공격 동향

Spear Phishing 기반 공격

JSE를 활용한 공격

CHM을 활용한 공격

안랩 대응 현황

결론

Tags:

2026년 5월 국내외 금융권 관련 보안 이슈