<이미지를 클릭하시면 크게 보실 수 있습니다>

최근 카카오톡을 통해 지인을 사칭한 악성 파일이 확산하면서 이용자들의 주의가 요구되고 있다.

16일 사이버 보안업체 지니언스 시큐리티 센터가 공개한 위협 인텔리전스 분석 보고서에 따르면 해킹 조직 ‘코니(Konni)’가 북한 관련 콘텐츠로 위장한 악성 파일 유포 캠페인을 진행 중인 것으로 나타났다.

이들은 ‘북한 인권 강사 위촉 안내’와 같은 내용의 이메일을 보내 1차 침투를 시도한다. 이후 바로가기 형태(LNK)의 파일을 실행하도록 유도해 원격 제어 기능을 가진 악성코드를 설치하게 만드는 방식이다. 감염된 기기에는 장기간 잠복하면서 내부 문서나 민감한 정보를 지속적으로 수집하는 것으로 분석됐다.

이번 공격의 특징은 이미 감염된 이용자를 추가 공격의 통로로 활용한다는 점이다. 공격자는 피해자의 카카오톡 PC 버전에 비정상적으로 접근한 뒤 친구 목록 일부를 선별해 악성 파일을 다시 전송하는 방식으로 확산을 이어간다.

보고서는 이번 공격이 신뢰 관계를 이용해 전파되는 지능형 지속 공격(APT)의 전형적인 형태라고 평가했다. 기존 피해자의 계정을 활용해 주변 지인에게 접근하기 때문에 수신자가 의심 없이 파일을 열 가능성이 높다는 것이다.

실제 공격자는 ‘북한 관련 다큐멘터리 기획안’이나 영상 자료 검토 요청처럼 자연스러운 메시지를 미끼로 사용한 것으로 분석됐다. 피해자가 이를 열람하는 순간 악성코드가 설치되고 장기간 정보 탈취 활동이 이어질 수 있다.

코니는 이전에도 다양한 방식의 공격 활동을 지속해온 것으로 알려졌다. 지난 1월에는 ‘포세이돈 작전’이라는 이름으로 구글 광고의 클릭 리다이렉션 기능을 악용해 이메일 보안 필터를 우회한 사례가 보고됐다. 지난해에는 안드로이드 기기를 대상으로 원격 초기화 기능을 활용해 흔적을 제거하는 방식의 공격을 시도하기도 했다.

보안 업계는 이 같은 공격이 단발성 해킹이 아니라 장기간 진행되는 조직적인 작전의 일부일 가능성이 크다고 보고 있다. 공격 수법이 점차 정교해지는 만큼 단순한 침해지표(IoC) 기반 차단만으로는 대응이 어렵다는 분석도 나온다.

전문가들은 기업과 기관이 엔드포인트 탐지 및 대응(EDR) 중심의 보안 체계를 강화해야 한다고 조언했다. 특히 메신저를 통한 파일 전송이 늘어난 만큼 카카오톡 등 메신저에서의 파일 공유 행위에 대한 보안 가이드 마련도 필요하다고 강조했다.

사용자 역시 각별한 주의가 요구된다. 문서 아이콘으로 위장한 바로가기 파일이나 공문 형태의 첨부파일은 실행 전에 반드시 확인해야 하며, 평소 연락이 뜸했던 지인이 갑자기 파일을 보내올 경우 의심해 볼 필요가 있다.

지니언스 시큐리티 센터는 “초기 침투부터 정보 수집, 메신저 악용, 재확산까지 이어지는 다단계 공격 구조가 확인된다”며 “공격자의 전술·기법·절차(TTP)를 종합적으로 고려한 다계층 보안 대응 전략이 필요하다”고 밝혔다.

HBM·이차전지·조선 기술 유출 급증, 절반은 중국으로…누가 빼갔나

임혜린 AX콘텐츠랩 기자 hihilinn@sedaily.com

[ⓒ 서울경제, 무단 전재 및 재배포 금지]