Security

신흥 해킹그룹 ‘코믹폼’, 러시아·중앙아시아 집중…한국서도 유사 공격 정황

Donghwi Shin

Published: 16:47, 24 Sep 2025 (Updated: 22:16, 22 Jan 2026)

[이미지: AI Generated by TheTechEdge]

신흥 해킹그룹 ‘코믹폼(ComicForm)’이 러시아, 벨라루스, 카자흐스탄을 중심으로 활동하는 가운데, 같은 시기 한국에서도 유사한 유형의 피싱 공격 정황이 보고됐다. 사이버보안 기업 에프식스(F6)는 2025년 4월 이후 이 그룹이 금융·제조·연구 분야를 겨냥한 대규모 피싱 캠페인을 전개했다고 분석했다. 국내 보안기업 NSHC 역시 한국 제조·에너지·반도체 기업을 대상으로 한 공격을 공개했으며, 이에 따라 전문가들은 한국을 포함한 다국적 확산 가능성을 주시하고 있다.

공격 방식과 유포 수단

공격자는 수신자의 주의를 끌기 위해 “서명된 문서 관련 알림”, “결제 청구서”, “서명 등록” 등과 같은 제목의 피싱 이메일을 발송했다. 이메일 수신자가 첨부된 압축 파일을 열면 PDF처럼 보이는 실행파일(예: Акт_сверки pdf 010.exe)이 나타났다. 발송된 메시지는 러시아어 또는 영어로 작성됐으며 .ru, .by, .kz 등 해당 지역 최상위 도메인으로 등록된 이메일 주소로 전송됐다.

첨부된 실행파일은 난독화되어 있으며, 닷넷(.NET) 로더는 악성 DLL을 풀어놓도록 설계됐다. 에프식스 분석에 따르면 첫 번째 악성 DLL은 MechMatrix Pro.dll(메크매트릭스 프로.dll)로, 이후 3단계 페이로드를 실행한다. 또 다른 DLL인 Montero.dll(몬테로.dll)은 폼북(FormBook, 폼북) 악성코드의 드로퍼 역할을 하며 예정된 작업을 생성하고, 탐지를 회피하기 위해 마이크로소프트 디펜더(Microsoft Defender)를 예외로 설정하려는 동작을 시도한다.

위장·소셜 엔지니어링 요소

공격 인프라에서는 흥미로운 이진도 발견됐다. 텀블러(Tumblr) 링크는 배트맨(Batman)과 같은 만화 슈퍼히어로의 무해한 GIF를 불러오는 동작을 포함하고 있었으며, 연구진에 따르면 이 이미지 자체는 공격에 사용되지는 않았으나 악성 코드의 일부로 포함돼 있었다. 에프식스 연구원 블라디슬라프 쿠간은 해당 이미지는 위협 행위자의 인프라 일부로 확인됐다고 설명했다.

인프라·표적 연결성 및 활동 시점

에프식스 분석에 따르면, 2025년 4월 벨라루스 은행과 6월 카자흐스탄 기업에서 피싱 이메일이 발송된 정황이 확인됐다. 또 2025년 7월 25일에는 카자흐스탄 기반의 한 산업체 이메일 주소에서 러시아 제조사로 보내진 피싱 이메일이 탐지·차단되기도 했다. 이 이메일은 수신자에게 계정 확인을 이유로 링크 클릭을 유도했으며, 클릭 시 가짜 로그인 페이지로 연결돼 자격 증명을 탈취하도록 설계됐다.

또한 국내 보안기업 NSHC는 같은 시기 대한민국 제조, 에너지, 반도체 기업을 겨냥한 유사 피싱 공격 정황을 보고했다. 한국을 대상으로 한 공격 역시 서류 전달·서명 요청을 위장한 이메일 첨부 파일을 통해 유포되었으며, 압축 파일 내 실행파일 → 다단계 로더 → 정보 탈취 악성코드로 이어지는 전형적인 패턴을 보였다. 이로써 ‘코믹폼’ 캠페인의 활동 무대는 러시아·중앙아시아뿐 아니라 한국까지 확장되었을 가능성이 제기된다.

피싱 페이지 기법

피싱 링크를 클릭한 사용자는 국내 문서 관리 서비스를 모방한 가짜 로그인 페이지로 이동한다. 이 페이지는 HTTP POST 요청을 통해 사용자가 입력한 이메일과 비밀번호를 공격자가 제어하는 도메인으로 전송한다. 쿠간은 페이지 내부 자바스크립트가 URL 매개변수에서 이메일을 추출해 입력 필드(id="email")를 자동으로 채우고, 이메일의 도메인 정보를 기반으로 해당 기업의 실제 웹사이트를 배경에 삽입하는 방식을 사용한다고 설명했다. 벨라루스 은행을 대상으로 한 공격에서는 송장 테마의 이메일이 활용됐다. 피해자가 이메일 주소와 전화번호를 입력하면, 이 정보가 외부 도메인으로 전송되도록 설계됐다.

확장된 표적과 위협

에프식스는 이번 캠페인이 러시아·벨라루스·카자흐스탄 기업을 넘어 한국까지 유사 공격이 발견됐음을 지적했다. 영어 이메일 사용은 공격자가 다국적 범위에서 활동 중임을 시사한다. 연구팀은 공격자들이 폼북 악성코드 드로퍼와 피싱 리소스를 병행 활용해 자격 증명을 수집한다고 결론지었다.

지역적 배경: 러시아 감시 체계 확산

분석과 함께 주목되는 점은 러시아의 수사·감시 체계(SORM, System of Operative Investigative Activities)가 주변국으로 확산되며 사이버 활동과 국가 감시 역량 강화에 동시에 활용되고 있다는 사실이다. 1990년대에 설립된 이 체계는 통신 제공 기업에 모니터링 장비 설치를 의무화해 당국이 서비스 제공자의 개입 없이도 통신 트래픽을 직접 감시할 수 있도록 한다. 현재는 SORM-1, SORM-2, SORM-3으로 진화해 인터넷 활동, 소셜 미디어, 위치 정보 등 실시간 모니터링이 가능하다.

벨라루스, 카자흐스탄, 키르기스스탄, 쿠바, 니카라과 등은 이와 유사한 시스템을 도입해 국가 차원의 감시 능력을 확대했으며, 이는 정치적 반대 세력 통제에도 활용되어 왔다. 전문가들은 보안 메시징 앱과 VPN 같은 암호화 통신의 필요성을 강조하며, 해외 기업 활동 시 각국의 감시 환경을 면밀히 평가해야 한다고 조언했다.

구분	세부 내용
주요 공격자	코믹폼(ComicForm) 조직
활동 시작 시점	2025년 4월 이후
표적 지역	러시아, 벨로루시, 카자흐스탄, 대한민국(유사 정황)
표적 분야	산업, 금융, 관광, 생명공학, 연구, 무역, 사이버보안, 제조, 에너지, 반도체
주요 수법	피싱 이메일(서명 요청·결제 청구서 등), 압축 파일 내 실행파일, 다단계 로더, DLL 기반 악성코드
악성 파일	`MechMatrix Pro.dll`, `Montero.dll` (폼북 드로퍼)
유포 방식	`.ru`, `.by`, `.kz` 도메인 이메일, 영어·러시아어 병행
피싱 페이지 특징	국내 서비스 로그인 페이지 위장, 자동 이메일 채움, 배경에 실제 기업 웹사이트 삽입
확장적 배경	러시아 수사·감시 체계(SORM) 확산, 주변국 감시 역량 강화