북한 해킹조직, 카카오톡 공격
피해자 계정으로 지인에게 재전송
해외 접속 표시 없이 원격 조종
평소 알고 지내던 지인이 카카오톡으로 보낸 파일을 별다른 의심 없이 열어봤다가, 컴퓨터가 해킹당하고 내 계정을 통해 또 다른 지인들에게 악성파일이 퍼져나간다.
이는 북한 연계 해킹 조직이 현재 한국을 대상으로 실행 중인 ‘신뢰 기반 다단계 공격’의 실제 시나리오다.
사이버 보안 기업 지니언스가 16일 발표한 위협 인텔리전스 보고서에 따르면, 북한 해킹 조직 ‘코니(Konni)’가 이메일과 카카오톡을 연계한 정교한 공격을 전개하고 있다.
단순히 개인 정보를 빼가는 수준을 넘어, 피해자를 ‘2차 공격의 매개체’로 만드는 구조적 위협이라는 점에서 보안 업계는 높은 경계심을 드러내고 있다.
이메일에서 카톡까지, 3단계 침투 전략
공격은 ‘북한 인권 강사 위촉 안내’라는 그럴듯한 제목의 이메일로 시작된다. 첨부된 압축파일 안에는 문서 아이콘으로 위장한 악성 바로가기(LNK) 파일이 숨어 있다.
사용자가 이를 더블클릭하는 순간, 악성 스크립트가 실행되며 컴퓨터가 감염된다. 이후 해커는 감염된 PC에 장기간 잠복하며 카카오톡 PC 버전에 이미 로그인된 세션을 탈취한다.
보안 업계 전문가는 “1차 피해자의 컴퓨터로 원격 접속해 이미 로그인된 카카오톡을 악용하기 때문에 ‘해외 접속’ 표시도 뜨지 않는다”고 설명했다.
이후 피해자의 친구 목록 중 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성파일을 재전송한다. 실제로 한 북한 인권운동가의 스마트폰에서는 악성파일이 30명 이상에게 동시 전파된 사례도 확인됐다.
파괴형 공격으로 진화한 코니 조직
코니는 올해 1월 ‘포세이돈 작전’에서 정상 광고 인프라를 악용한 스피어피싱을 시도했고, 작년 11월에는 안드로이드 기기의 원격 초기화 전술을 활용한 바 있다.
특히 작년에는 구글 위치 데이터로 외출 시간을 확인한 뒤 ‘내 기기 찾기’ 기능으로 스마트폰을 원격 초기화하거나, 웹캠과 마이크를 제어해 감시하는 파괴형 공격까지 감행했다.
지니언스는 이번 공격을 “정보 탈취를 넘어 신뢰 관계를 악용한 계정 기반 재확산 모델”로 평가했다. 무작위 공격이 아닌 소수 인원을 정교하게 타기팅하는 방식이라, 일반적인 보안 필터로는 탐지가 어렵다는 것이다.
단순 차단 넘어 ‘행위 기반 탐지’ 시급
전문가들은 단순히 악성파일을 차단하는 침해지표(IoC) 중심 대응만으로는 한계가 있다고 지적한다. 지니언스는 엔드포인트 탐지 및 대응(EDR) 중심의 이상행위 탐지 체계 도입을 권고했다.
조직 차원에서는 메신저를 통한 파일 송수신 보안 가이드 마련, 비정상적인 대량·반복 전송 패턴 탐지, 중요 단말의 세션 보호 점검 등이 필요하다.
개인 사용자는 문서 아이콘으로 위장한 바로가기 파일이나 공문 형식 첨부파일에 경계심을 가져야 한다. 2단계 인증 활성화, 브라우저 비밀번호 자동저장 차단, PC 미사용 시 전원 차단 등 기본적인 보안 습관도 중요하다.
지니언스 시큐리티 센터 관계자는 “기존 피해자를 추가 공격의 매개체로 악용한다는 점에서 위협성이 매우 높다”며 “초기 침투부터 장기 잠복, 재확산까지 전 과정을 맥락 기반으로 파악하고 대응해야 한다”고 강조했다.
신뢰할 수 있는 지인으로부터 온 메시지라 해도, 예상치 못한 파일이라면 한 번 더 확인하는 습관이 그 어느 때보다 절실한 시점이다.
