벗님 (175.♡.156.146)
2026년 6월 15일 PM 12:42
[기사 톺아보기] 'MS 보안팀' 사칭 악성코드 '나왈랫' 국내 유포

// 'MS 보안팀' 사칭해 침투…클릭한 순간 PC 다 털린다
https://n.news.naver.com/article/666/0000111226
[기사 톺아보기] 'MS 보안팀' 사칭 악성코드 '나왈랫' 국내 유포
이 글은 AI(Claude Sonnet 4.6)가 작성한 분석 글로,
기사를 바탕으로 더 다양한 시각과 깊이 있는 통찰을 나누기 위해 기획되었습니다.
바쁘시거나 관심이 없으시다면 편하게 넘어가셔도 좋습니다.
이 기사는 2026년 6월 15일, 경기일보 김미지 기자가 보도한
북한 연계 해킹조직 추정 신종 악성코드 '나왈랫(NarwhalRAT)' 유포 사건을 다루고 있습니다.
보안기업 지니언스의 분석 결과를 인용하여 작성되었습니다.
기사 이해 돕기
RAT (Remote Access Trojan, 원격 접속 트로이목마)
해커가 피해자 컴퓨터를 마치 자기 것처럼 원격으로 조종할 수 있는 악성 프로그램이다.
이름 그대로 '트로이 목마' 처럼 정상 파일로 위장해 몰래 들어온다.
스피어피싱 (Spearphishing)
특정 인물이나 조직을 정밀하게 겨냥한 이메일 공격이다.
무작위로 뿌리는 일반 피싱과 달리, 수신자 이름·직책·관심사를 사전에 조사해 맞춤 제작한다.
그만큼 속아 넘어갈 가능성이 훨씬 높다.
LNK 파일 (.lnk)
윈도우 바로가기 파일이다.
겉으로는 한글 문서(.hwp)처럼 보이도록 아이콘을 바꿀 수 있다.
클릭하는 순간 숨겨진 명령어가 자동 실행된다.
APT37 (Advanced Persistent Threat 37)
북한 정찰총국이 배후로 지목되는 해킹 그룹이다.
'스카크루프트(ScarCruft)', '리퍼(Reaper)', '리코셰 촐리마(Ricochet Chollima)' 등 여러 이름으로 불린다.
주로 한국, 일본, 동남아 대상 사이버 첩보 활동에 특화되어 있다.
키로깅 (Keylogging)
피해자가 키보드로 입력하는 모든 내용을 몰래 기록하는 기법이다.
비밀번호, 계좌번호, 대화 내용이 모두 노출된다.
C2 서버 (Command and Control Server, 명령 제어 서버)
해커가 악성코드에 명령을 보내고 탈취한 데이터를 받아가는 원격 서버다.
피해 PC는 이 서버와 은밀하게 통신하며 해커의 지시를 따른다.
배치파일 난독화 (Batch File Obfuscation)
악성 명령어를 알아보기 어렵게 뒤섞어 쓰는 기법이다.
보안 프로그램의 자동 탐지를 피하기 위해 사용된다.
작업 스케줄러 악용 (Task Scheduler Abuse)
윈도우에는 특정 시간마다 프로그램을 자동 실행시키는 기능이 있다.
해커들은 이를 이용해 피해 PC를 재부팅 후에도 좀비 상태로 유지시킨다.
7줄 요약
1. 'MS 보안팀' 발신을 사칭한 이메일이 국내 사용자에게 유포되고 있다.
2. 첨부 압축 파일 안에 한글 문서(.hwp)로 위장한 악성 바로가기(.lnk)가 숨어 있다.
3. 클릭 시 30종 이상의 원격 제어 기능을 가진 '나왈랫(NarwhalRAT)' 악성코드가 설치된다.
4. 키로깅·화면 캡처·마이크 녹음·USB 파일 탈취 등 PC 전체를 장악한다.
5. 네이버 웨일 브라우저 폴더명으로 위장해 보안 탐지를 회피한다.
6. 보안기업 지니언스는 북한 연계 APT37의 소행으로 추정한다고 밝혔다.
7. 단, 사이버 공격의 배후 귀속(attribution)은 전문가 사이에서도 오판 가능성이 공식 인정되는 분야다.
기사가 언급하지 않은 중요한 사실들
1. '추정'과 '확정'은 다르다
기사 제목은 "북한 연계 해킹조직"을 단정적으로 표현했다.
그러나 본문을 읽으면 "강력히 의심", "소행으로 추정"이라고만 되어 있다.
지니언스 분석팀이 추정 근거로 제시한 것은 세 가지다.
첫째, 미끼 문서 저장자명 'Lailey' 일치.
둘째, LNK 파일 구조와 배치파일 난독화 방식 유사.
셋째, 작업 스케줄러 지속 유지 방식 유사.
이 세 가지는 정황 증거이지, 법적·기술적 확증이 아니다.
2. '위장(False Flag)' 공격은 실제로 존재한다
2018년 평창 동계올림픽 당시 '올림픽 디스트로이어(Olympic Destroyer)' 사건이 있었다.
초기에 카스퍼스키를 포함한 다수 보안업체가 북한 소행으로 분석했다.
그러나 나중에 코드 내부에 의도적으로 삽입된 북한 지문(Rich Header)이 위조된 것임이 밝혀졌다.
실제 배후는 러시아 GRU 산하 해킹 그룹 APT28(팬시 베어)이었다.
즉, 다른 세력이 북한을 모함하기 위해 북한 해킹 흔적을 심을 수 있다는 현실이 이미 입증됐다.
3. 한국을 표적으로 삼는 해킹 세력은 북한만이 아니다
안랩의 2026년 보안 전망 보고서(2025년 11월)에 따르면,
2024~2025년 1년간 APT 공격 건수는 북한 86건, 러시아 27건, 중국·인도 18건 등 다수 국가가 확인됐다.
중국 연계 그룹 APT41은 한국 포함 14개국 이상에서 키로깅, 크리덴셜 탈취 등을 수행했다.
금전적 목적의 일반 사이버범죄 집단도 MS 사칭 피싱 이메일을 대규모로 운용한다.
어떤 집단도 배후에서 배제할 근거는 없다.
4. APT37의 최근 주요 활동과의 비교
캠페인명 | 시기 | 주요 기법 | 발견 기관 |
|---|---|---|---|
Operation ToyBox Story | 2025년 3월 | Dropbox 통한 LNK 파일 유포 | 지니언스 |
Operation Artemis | 2025년 12월 | HWP+DLL 사이드로딩 결합 | 지니언스 |
Ruby Jumper | 2025년 12월 | USB 통한 에어갭 내부망 침투 | 지스케일러 |
나왈랫(NarwhalRAT) | 2026년 6월 | MS 사칭+LNK+웨일 위장+30종 RAT | 지니언스 |
위 표를 보면 APT37은 LNK 파일 기법을 꾸준히 사용해 온 것이 사실이다.
그러나 같은 기법이 다른 집단에 의해 복제·모방될 수 있다는 점도 감안해야 한다.
5. 'Lailey'라는 저장자명 근거의 한계
파일 메타데이터의 저장자명은 공격자가 임의로 설정할 수 있다.
과거 북한 해킹 사건에서 노출된 속성값을 그대로 복사해 심는 것은 기술적으로 간단하다.
이 점 때문에 귀속 판단에서 메타데이터 일치는 하나의 참고 요소일 뿐, 결정적 증거로 보기 어렵다는 것이 학계 및 보안 연구자들의 공통된 견해다.
기사가 충분히 검토하지 않은 문제들
문제 1. 피해 규모와 피해 대상이 전혀 공개되지 않았다
기사는 '국내 사용자'를 표적으로 한다고만 했다.
실제로 몇 명이 피해를 입었는지, 어떤 직종·기관이 주 표적인지 전혀 언급하지 않았다.
공격 대상이 일반인인지, 공공기관 종사자인지, 방산·외교 관계자인지에 따라 위협 수준이 완전히 달라진다.
문제 2. '강력 의심'이라는 표현의 책임 소재가 불분명하다
기사 헤드라인은 "북한 연계 해킹조직"으로 단정했으나,
본문의 출처는 사기업(지니언스)의 분석 의견이다.
국가정보원·경찰청·KISA 등 공식 기관의 확인을 받지 않은 상태다.
민간 기업의 추정을 기정사실처럼 보도하는 것은 언론윤리 관점에서 검토가 필요하다.
문제 3. 독자 보호를 위한 구체적 행동 지침이 부족하다
기사는 "각별한 주의가 요구된다"고 마무리했다.
그러나 어떻게 주의해야 하는지를 구체적으로 알려주지 않았다.
한국기자협회 언론윤리강령은 공익 정보의 명확한 전달을 요구한다.
피해 예방을 위한 실천 가이드가 기사 안에 포함되었어야 했다.
문제 4. 웨일 브라우저 사용자에게 특별한 경고가 없었다
나왈랫은 네이버 웨일의 폴더 구조를 위장 수단으로 사용했다.
웨일 브라우저 사용자가 특별히 주의해야 하는 이유가 있음에도,
기사는 이 점을 깊이 설명하지 않았다.
나왈랫 공격 구조 한눈에 보기
단계 | 내용 | 피해자 인식 |
|---|---|---|
1단계 | MS 보안팀 사칭 스피어피싱 이메일 수신 | 공식 보안 안내처럼 보임 |
2단계 | 첨부 압축 파일 해제 | 일반 문서로 보임 |
3단계 | HWP 위장 LNK 파일 실행 | 정상 문서가 열림 |
4단계 | 백그라운드 악성코드 다운로드 및 설치 | 아무 이상 없음 |
5단계 | naverwhale 폴더 생성, 작업 스케줄러 등록 | 전혀 모름 |
6단계 | 키로깅·녹음·화면캡처 등 30종 기능 가동 | 전혀 모름 |
사이버 공격 귀속(attribution)의 한계
사이버 공격의 주체를 특정하는 일은 물리적 범죄 수사보다 훨씬 어렵다.
Springer Nature 학술지(Cybersecurity, 2020)에 실린 연구는 이 점을 명확히 정리했다.
"공격자들은 다른 그룹이 사용한 도구, 기법, 절차를 의도적으로 모방해
조사자를 혼란에 빠뜨리는 '위장 공작(False Flag)'을 수행한다.
잘못된 귀속은 잘못된 대응으로 이어지며, 심각한 경우 지정학적 긴장을 유발한다."
(Skopik & Pahi, Cybersecurity Journal, 2020)
학계의 분석에 따르면 사이버 공격 귀속의 주요 한계는 다음과 같다.
한계 요인 | 설명 |
|---|---|
코드 재사용 | 유출된 악성코드 소스를 누구나 수정해 재활용 가능 |
메타데이터 조작 | 파일 저장자명·타임스탬프는 임의 설정 가능 |
IP·인프라 위장 | VPN·프록시로 위치 은폐 및 타국 서버 경유 가능 |
TTP 모방 | 기존 그룹의 공격 패턴을 공개 보고서로 학습 후 복제 가능 |
의도적 위장 공작 | 다른 국가 해킹 그룹의 특징을 심어 책임을 전가 |
2018년 평창 올림픽 사례는 이를 완벽하게 보여주는 실증 사례다.
다수 보안업체가 북한 소행이라고 분석했으나,
실제 배후는 러시아였으며 북한을 모함하기 위한 코드가 의도적으로 삽입되어 있었다.
북한이 아닐 경우의 가능성들
기사는 APT37 외의 가능성을 전혀 다루지 않았다.
아래는 검토할 수 있는 대안적 가능성들이다.
가능한 배후 | 근거 및 특징 |
|---|---|
중국 연계 그룹 | 한국 겨냥 정보 수집에 적극적. |
러시아 연계 그룹 | 위장 공작(False Flag) 전술에 가장 능숙한 그룹. |
금전 목적 독립 범죄 집단 | MS 사칭 피싱은 전 세계 범죄 집단의 범용 수법. |
내부자 또는 내부 협력자 | 표적의 내부 정보를 사전에 알고 있을 경우, |
어느 가능성이 실제인지는 현재 공개된 정보만으로는 확정할 수 없다.
기사가 이 점을 더 균형 있게 다루었어야 했다.
나왈랫으로부터 스스로를 지키는 방법
이메일 발신 도메인을 반드시 확인한다. 'Microsoft' 발신자명만 보지 말고, 실제 이메일 주소 전체를 확인한다.
압축 파일 안에 있는 .lnk 파일은 절대 클릭하지 않는다. 정상 문서는 .lnk 형식이 아니다.
파일 확장자 보기를 활성화한다. 윈도우 기본 설정은 확장자를 숨기도록 되어 있어 위장에 취약하다.
보안 소프트웨어를 최신 버전으로 유지한다. 행위 기반 탐지 기능을 지원하는 제품이 효과적이다.
의심스러운 이메일의 첨부파일은 열지 않고, IT 담당자 또는 보안 기관(KISA 118)에 신고한다.
작업 스케줄러(Task Scheduler)에 낯선 항목이 등록되어 있는지 주기적으로 확인한다.
KISA 인터넷침해대응센터: 118 (24시간 운영)
더 넓은 시야로 보기
이 사건은 단순한 '북한 해킹 뉴스'가 아니다.
우리 사회가 디지털 환경에서 얼마나 취약한 위치에 있는지를 보여준다.
개인의 컴퓨터 하나가 통째로 타인의 손에 넘어갈 수 있다는 것,
마이크까지 켜진다는 것은 단순한 데이터 유출이 아니다.
삶 전체가 감시당하는 상황이다.
한편으로, 배후 귀속이 불확실한 상태에서 특정 국가를 단정하는 보도 관행은
국제 관계에도, 국내 보안 역량 강화에도 도움이 되지 않는다.
실제 공격자를 놓치고, 잘못된 방향으로 대응 자원이 투입될 수 있다.
가장 중요한 것은 '누가 했느냐'보다
'어떻게 막을 것인가', '어떻게 피해를 최소화할 것인가'다.
기술적 방어 체계와 미디어 리터러시를 동시에 강화해야 한다.
이 분석 내용은 'Claude Sonnet 4.6 적응'이 작성하였으며,
원하시면 마음대로 퍼가셔도 좋습니다.
댓글 (0)
- 아직 댓글이 없습니다. 첫 댓글을 작성해보세요!
댓글을 작성하려면 이 필요합니다.