지난해 북한 배후 해킹조직이 개인의 스마트폰과 PC를 원격 조종해 사진·문서·연락처 등을 통째로 삭제하는 ‘파괴형 사이버 공격’을 감행한 정황이 포착된 가운데, 이번에는 북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 스피어피싱(spear phishing·특정 표적을 노리고 실제 업무 연락처럼 위장한 이메일 등을 보내 악성 코드를 심는 공격) 이메일과 카카오톡을 연계한 다단계 공격을 전개하고 있는 것으로 나타났다.
정상 이메일로 위장해 사용자 PC에 악성코드를 심고, 이를 통해 탈취한 카카오톡 계정에서 주변 지인에게 악성코드를 재유포하는 수법이다.
16일 사이버 보안 기업 지니언스 시큐리티 센터에 따르면 코니 조직은 최근 이러한 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.
센터에 따르면 이 공격은 ‘북한 인권 강사 위촉 안내’로 위장한 스피어피싱 이메일에서 시작된다.
공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(LNK) 파일을 포함해 사용자가 실행하도록 유도한다. 사용자가 LNK 파일을 누르면 내부에 숨겨진 악성 스크립트가 실행되며 PC가 감염되는 구조다.
이번 공격은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 점이 특징이다.
공격자는 피해자의 PC를 통해 계정 정보 등을 탈취한 뒤, 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 나타났다. 이후 피해자의 친구 목록 중 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성파일을 다시 전송했다. 기존 피해자와 신뢰 관계에 놓인 수신자는 별다른 의심 없이 파일을 누를 가능성이 높다.
지니언스 시큐리티 센터 관계자는 “이번 공격은 기존 피해자를 추가 공격의 매개체로 악용한다는 점에서 위협성이 매우 높다”며 “실시간 행위 기반 탐지가 가능한 보안 플랫폼을 통해 초기 침투부터 장기 잠복 행위까지 전 과정을 맥락 기반으로 파악하고 대응해야 한다”고 강조했다.
한편 지난해에도 북한 배후 해킹조직의 사이버 공격으로 인한 피해 사례가 여럿 발생한 바 있다.
지난 9월 국내 한 심리상담사의 스마트폰이 초기화된 뒤 ‘스트레스 해소 프로그램’으로 위장한 악성 파일이 상담사의 지인들에게 대량 전송됐다.
같은 달 북한 인권운동가의 스마트폰에서도 동일한 수법이 재현돼 악성 파일이 30명 이상에게 동시 전파됐다.
해커들은 피해자의 구글 위치 데이터를 활용해 외출 시간을 확인한 뒤 ‘내 기기 찾기’ 기능을 이용해 스마트폰을 원격 초기화한 것으로 분석됐다.
이 과정에서 피해자의 PC와 태블릿까지 감염돼 추가 공격이 이뤄졌다. 특히 피해자의 웹캠과 마이크를 제어해 일거수일투족을 감시했을 가능성도 제기됐다.
전문가들은 로그인 2단계 인증과 브라우저 비밀번호 자동저장 차단, PC 미사용 시 전원 차단 등 기본 보안 수칙 강화를 당부했다.
