뉴시스

<이미지를 클릭하시면 크게 보실 수 있습니다>

북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱) 이메일과 카카오톡 메신저를 연계해 악성코드를 유포하는 다단계 공격을 벌이고 있는 것으로 나타났다.

16일 사이버 보안 기업 ‘지니언스’에 따르면 코니는 특정 목표를 정한 뒤 공격이 성공할 때까지 장기간 집요하게 침투하는 수법인 ‘지능형 지속 위협(APT)’ 공격을 이어가고 있다. 특히 이번 공격은 감염된 PC의 카카오톡 PC 버전을 확산 경로로 활용한 점이 특징이다.

공격은 스피어피싱 이메일에서 시작된다. 정상적인 이메일처럼 보이지만 악성 바로가기(LNK) 파일이 포함, 사용자가 해당 파일을 실행하면 내부에 숨겨진 악성 스크립트가 작동하며 PC가 감염된다. 이후 공격자는 감염된 단말기에 장기간 잠복해 내부 문서와 계정 정보를 탈취한 뒤 피해자의 카카오톡 PC 버전에 무단으로 접근한다. 이어 친구 목록 가운데 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성 파일을 재전송하며 공격을 확산시킨 것으로 파악됐다.

카카오톡을 기반으로 피해자와 지인 간 신뢰 관계를 악용해 추가 감염을 유도하는 방식이어서 일반적인 외부 유입 차단 중심의 보안 정책만으로는 대응이 쉽지 않다는 지적이 나온다. 전문가들은 바로가기 파일이나 공문 형식을 가장한 첨부파일에 대해 경계심을 가질 수 있도록 교육을 강화해야 한다고 강조했다.

한채연 기자 chaezip@donga.com

Copyright Ⓒ 동아일보. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지