북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 북한인권 강사 위촉 안내로 위장한 스피어피싱 이메일과 카카오톡 PC버전에 접근해 다단계 공격을 전개하고 있어 주의가 요구된다.
16일 사이버 보안 기업 지니언스 시큐리티 센터는 ‘코니 그룹의 스피어피싱‧카카오톡 연계 위협 캠페인 분석’ 보고서를 통해 이같이 밝혔다. 코니 그룹은 북한인권 강사 위촉 안내로 위장한 스피어피싱 이메일을 통해 1차 침투를 시도한다. 이어 바로가기(LNK) 유형의 악성파일 실행을 유도해 원격제어형 악성코드를 설치하는 방식으로 초기 감염을 유발한다.
이번 공격은 감염된 단말기에 장기간 은닉하며 내부 문서 및 민감 정보를 탈취한다. 공격자는 피해자의 카카오톡 PC 버전에 비인가 방식으로 접근해 친구 목록 중 일부를 선별 대상으로 삼아 악성파일을 2차 유포하는 확산 전략을 사용한 정황이 식별됐다.
특히 공격자는 북한 관련 영상 기획안 형태의 미끼 콘텐츠를 활용해 수신자를 현혹하고, 기존 피해자를 추가 공격의 매개체로 악용하는 신뢰 기반 전파 구조를 형성한 것으로 분석된다.
이는 단순 스피어피싱을 넘어, 장기 잠복·정보 탈취‧계정 기반 재확산이 결합된 다단계 공격 체계로 평가된다.
코니그룹은 지난 1월 보고한 ‘포세이돈 작전’에서 정상 광고 인프라의 클릭 리다이렉션 메커니즘을 악용한 스피어피싱을 통해 이메일 보안 필터링 및 사용자 경계 우회를 시도했었다. 지난해 11월에는 ‘안드로이드 디바이스를 대상으로 원격 초기화 전술’을 활용한 정황도 보였다.
지니언스 시큐리티 센터는 북한, 인권, 안보, 공공기관 안내 등 사회‧정치적 관심 주제를 활용한 스피어피싱 이메일에 대해 첨부파일 실행을 최소화하는 정책을 적용해야 한다고 강조했다.
또 압축파일 내부에 포함된 LNK, 스크립트, 실행형 파일과 같이 다단계 실행이 가능한 포맷은 우선 점검 또는 격리 대상으로 지정하고, 업무상 필요성이 낮은 경우 수신 제한 정책을 검토할 필요가 있다고 전했다.
사용자에게는 문서 아이콘으로 위장한 바로가기 파일, 공문 또는 안내문 형식을 가장한 첨부파일, 발신자 신뢰를 악용한 파일 실행 유도 사례에 대한 경계 교육을 강화해야한다고 제언했다.
지니언스 시큐리티 센터 관계자는 “이번 공격은 단일 악성파일 차단이나 IoC 중심 대응만으로는 충분하지 않다”라며 “초기 침투부터 지속성, 정보 수집, 메신저 악용, 재확산까지 위협 행위자의 TTP 전반을 고려한 다계층 방어 전략이 요구된다”라고 전했다.
