네이버·구글 광고 추적 악용
정상 트래픽 위장 보안망 무력화
EDR 솔루션 도입 필수적
북한 연계 해킹 조직 ‘코니(Konni)’가 네이버와 구글의 광고 시스템을 악용해 악성코드를 유포하는 고도화된 사이버 공격을 전개하고 있다.
이들은 정상적인 광고 트래픽으로 위장해 기존 보안 시스템을 무력화하는 치밀함을 보이고 있다.
광고 추적 경로 악용한 정밀 공격
지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니 조직은 ‘포세이돈 작전’이라는 이름의 지능형 지속 위협(APT) 공격을 수행하고 있다.
공격의 핵심은 네이버와 구글 광고 시스템의 ‘클릭 추적 경로’를 악용했다는 점이다.
클릭 추적이란 사용자가 광고를 클릭할 때 광고주 페이지로 이동하기 전 거쳐 가는 중간 경로를 의미한다. 해커들은 이 정상적인 URL 구조를 모방해 사용자를 악성 파일이 심어진 외부 서버로 유도한다.
보안 시스템이나 AI 탐지 도구가 검사하더라도 네이버나 구글의 정상 도메인으로 인식돼 차단이 어렵다.
공격에 사용된 서버 일부는 워드프레스 기반 웹사이트로 확인됐다. 공격 인프라가 차단될 경우 빠르게 서버를 교체해 방어 체계를 따돌리기 위한 전략이다.
금융기관 사칭 이메일로 시작
공격은 정교한 사칭 이메일로 시작된다. 코니 조직은 금융기관이나 북한 인권 단체를 가장해 ‘금융거래 확인’이나 ‘소명자료 제출’과 같은 업무 관련 내용으로 접근한다.
사용자가 이메일 링크를 클릭하면 압축파일이 다운로드되는데 내부에는 PDF 문서 아이콘을 한 윈도우 바로가기(LNK) 악성 파일이 숨어 있다.
이 파일을 실행하면 악성 스크립트가 자동 작동해 사용자 PC에 원격제어 악성코드를 설치한다.
지니언스 분석팀은 악성 파일 내부 코드에서 ‘Poseidon-Attack’이라는 문자열을 발견했다. 해커 조직이 이번 캠페인을 체계적으로 준비해 온 것으로 분석된다.
행위 기반 EDR 솔루션 필수
보안 전문가들은 이번 사례가 국가 배후 해킹 조직의 고도화된 공격이라고 경고한다.
지니언스 관계자는 “정상 광고 도메인을 차단하는 것은 불가능해 기존 패턴 기반 보안 체계로는 방어에 한계가 있다”고 지적했다.
대응책으로 EDR(엔드포인트 탐지 및 대응) 솔루션 도입이 강조되고 있다. EDR은 시그니처 기반 탐지를 사용하는 기존 안티바이러스와 달리 행위 기반 탐지를 통해 알려지지 않은 위협까지 감지한다.
파일 실행 이후 PC 내부의 이상 행위와 외부 통신을 실시간 감지해 악성 프로세스를 중단시키거나 해당 기기를 네트워크에서 격리한다.
지니언스 관계자는 “이메일에 첨부된 압축파일, 특히 바로가기(LNK) 파일은 절대 실행해서는 안 된다”며 “EDR 솔루션 도입과 함께 사용자 보안 인식 제고가 필수적”이라고 강조했다.
