[서울이코노미뉴스 박희만 기자] 북한 연계 해킹조직으로 알려진 '코니(Konni)'가 스피어피싱 이메일과 메신저를 결합한 다단계 공격을 전개하는 것으로 나타났다.
정상 메시지로 위장해 악성코드를 유포한 뒤 탈취한 계정을 이용해 주변 지인에게 다시 악성 파일을 전파하는 방식으로, 사용자들의 각별한 주의가 요구된다.
16일 사이버 보안기업 지니언스 시큐리티센터가 발표한 위협 인텔리전스 분석보고서에 따르면 코니 조직은 최근 이같은 방식의 지능형 지속 위협(APT) 공격을 수행하고 있는 것으로 파악됐다.
공격은 ‘북한 인권 강사 위촉안내’로 위장한 이메일을 통해 시작된다. 특정개인을 겨냥해 실제 업무 메일처럼 꾸며 악성코드를 심는 사이버 공격이다.
공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(LNK) 파일을 포함시켜 사용자가 이를 실행하도록 유도한다.
사용자가 문서를 열기 위해 해당파일을 더블클릭하면 내부에 숨겨진 악성 스크립트가 실행되면서 PC가 감염되는 구조다.
특히 이번 공격은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산수단으로 활용했다는 점이 특징이다.
공격자는 피해자의 PC에 장기간 잠복하며 계정정보를 탈취한 뒤 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 분석됐다.
이후 공격자는 피해자의 친구 목록 가운데 일부를 선별해 ‘북한 관련영상 기획안’ 등으로 위장한 악성파일을 재차 전송하며 공격을 확산시켰다.
기존 지인관계를 악용하는 방식이기 때문에 수신자가 별다른 의심없이 파일을 열어볼 가능성이 높다는 설명이다.
지니언스는 이러한 공격방식이 단순한 정보 탈취를 넘어 ‘계정 기반 재확산’ 형태의 새로운 위협모델이라고 평가했다.
신뢰관계를 악용해 단계적으로 공격을 확장하는 구조가 형성되고 있다는 분석이다.
보안업계에서는 점점 정교해지는 APT 공격에 대응하기 위해 기존 침해지표(IoC) 중심의 대응을 넘어 이상행위를 탐지하는 보안체계 도입이 필요하다고 지적한다.
특히 엔드포인트 탐지 및 대응(EDR) 기반의 보안 시스템을 구축해 단말에서 발생하는 비정상 행위를 실시간으로 탐지하고 대응할 필요가 있다는 것이다.
또 조직 차원에서는 메신저를 통한 파일 송수신 보안 가이드를 마련하고, 비정상적인 대량·반복 메시지 전송 패턴을 탐지하는 체계를 갖춰야 한다는 조언도 나온다.
아울러 중요 단말기의 세션 보호 여부를 점검하고 문서 아이콘으로 위장한 바로가기 파일이나 공문 형식의 첨부파일에 대해 사용자 경계심을 가질 수 있도록 교육을 강화해야 한다고 강조했다.