사진=연합뉴스
북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 스피어피싱 이메일과 카카오톡을 연계한 다단계 공격을 전개하고 있어 사용자들의 각별한 주의가 요구된다.
정상 이메일로 위장해 사용자 PC에 악성코드를 심은 뒤, 이를 통해 탈취한 메신저 계정을 이용해 지인들에게 악성코드를 다시 유포하는 ‘신뢰 기반’ 방식의 공격 수법이다.
지난 16일 사이버 보안 기업 지니언스시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면, 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 시도하고 있는 것으로 나타났다.
이번 공격은 ‘북한 인권 강사 위촉 안내’로 위장한 스피어피싱 이메일에서 시작된다. 스피어피싱은 특정 대상을 노려 실제 업무 연락처럼 위장한 이메일이나 메시지를 보내 악성코드를 유포하는 사이버 공격 방식이다.
공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(LNK) 파일을 포함시켜 사용자가 실행하도록 유도한다. 사용자가 문서를 열기 위해 해당 LNK 파일을 더블클릭하면 내부에 숨겨진 악성 스크립트가 실행되면서 PC가 감염되는 구조다.
이번 공격의 특징은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 점이다.
공격자는 피해자의 PC에 장기간 잠복하면서 계정 정보 등을 탈취한 뒤 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 파악됐다. 이후 피해자의 친구 목록 가운데 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성 파일을 다시 전송하는 방식으로 공격을 이어갔다.
이 같은 방식은 기존 피해자와의 신뢰 관계를 이용하는 만큼 수신자가 별다른 의심 없이 파일을 열어볼 가능성이 높다는 분석이다.
지니언스는 이를 단순한 정보 탈취를 넘어선 ‘계정 기반 재확산’ 형태의 위험 모델로 평가하며, 신뢰 관계를 악용한 다단계 공격 구조가 형성되고 있다고 설명했다.
보안 업계 전문가는 “무작위 공격이 아닌 소수 인원을 정교하게 노리는 방식”이라며 “1차 피해자의 컴퓨터로 원격 접속해 이미 로그인된 카카오톡을 악용하기 때문에 ‘해외 접속’ 표시도 나타나지 않을 수 있다”고 설명했다.
지니언스는 갈수록 정교해지는 APT 공격에 대응하기 위해 단순한 침해지표(IoC) 중심의 차단을 넘어 엔드포인트 탐지 및 대응(EDR) 중심의 이상 행위 대응 체계 도입이 필요하다고 제언했다.
또 조직 차원에서 메신저 파일 송수신 보안 가이드 마련, 비정상적인 대량·반복 전송 패턴 탐지, 중요 단말의 세션 보호 여부 점검 등이 필요하다고 강조했다.
아울러 문서 아이콘으로 위장한 바로가기 파일이나 공문 형식을 가장한 첨부파일에 대해 사용자의 경계심을 높일 수 있도록 보안 교육을 강화해야 한다고 덧붙였다.
지니언스 시큐리티 센터 관계자는 “이번 공격은 기존 피해자를 추가 공격의 매개체로 악용한다는 점에서 위협성이 매우 높다”며 “실시간 행위 기반 탐지가 가능한 보안 플랫폼을 통해 초기 침투부터 장기 잠복 행위까지 전 과정을 맥락 기반으로 파악하고 대응해야 한다”고 말했다.
Copyright ⓒ 금강일보 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
