북한 연계 해킹 조직 ‘코니(Konni)’가 최근 국내에서 구글 등의 인터넷 주소 바로가기(URL)를 악용해 해킹을 시도하는 이른바 ‘포세이돈 작전’을 전개하고 있는 것으로 알려졌다. 정상적인 경로로 우회해 기존 보안 시스템을 무력화하는 수법의 최신 공격으로, 이용자들의 주의가 필요하다는 분석이 나온다.
지니언스(263860) 시큐리티 센터가 19일 공개한 위협 인텔리전스 보고서에 따르면 코니 조직은 광고 URL로 위장한 스피어 피싱 캠페인 ‘포세이돈 작전’을 통해 사용자 정보를 빼내고 있다. 스피어 피싱이란 창살(스피어·Spear)로 물고기를 잡듯이 특정 개인이나 조직을 목표로 하는 해킹 공격을 뜻한다.
예컨대 금융감독원 등 금융 기관을 사칭한 이메일을 보내고, 이용자가 이메일 내 URL을 클릭하면 악성 코드가 담긴 파일이 다운로드되는 식이다. 이 과정에서 구글 등이 제공하는 포털 광고 시스템을 이용해 URL을 만들어 미끼로 던지는 것이 특징이다. 대형 포털들은 광고 시스템에 ‘클릭 추적 경로’를 적용하고 있다. 쉽게 말해 사용자가 광고를 클릭한 뒤 실제 광고주 페이지로 이동하기 전 거치는 중간 URL로, 포털들은 광고 성과 분석을 위해 클릭 추적 경로를 사용 중이다. 코니 조직은 이와 같은 정상적인 시스템을 그대로 베껴 사용자를 악성 서버로 유도했다. 실제 클릭 추적 광고와 유사한 탓에 보안 솔루션 등이 해킹으로 인식 못하게 하면서 우회 해킹한 것이다.
지니언스 시큐리티 센터 분석 결과 이와 같은 공격들에는 모두 악성 파일 내부 코드에서 ‘포세이돈 공격(Poseidon-Attack)’이라는 문자열이 발견됐다. 지니언스 시큐리티 센터는 “코니 조직이 이번 공격을 ‘포세이돈’이라는 프로젝트명으로 관리하며 체계적으로 준비해왔다는 증거”라고 설명했다.
코니 조직은 이 외에도 구글의 기기 위치 확인 기능인 ‘파인드 허브’를 통한 해킹도 시도하고 있다. SK쉴더스에 따르면 코니 조직은 국세청 등을 사칭한 이메일을 통해 이용자의 단말기에 침투한 뒤 민감한 개인정보를 탈취했다. 동시에 구글 계정 인증 정보를 빼앗은 뒤 파인드 허브 위치 기반 조회를 통해 이용자가 단말기와 멀리 있는 것을 확인하면 데이터를 삭제하면서 2차 피해도 일으켰다.
전문가들은 국내에서 발생한 사이버 공격의 대부분이 이메일 속 URL 클릭 등 이메일을 통해 유입되고 있다며 불필요한 정보 입력을 경계해야 한다고 조언한다. 글로벌 사이버보안 기업 체크포인트는 “한국에서 발생한 사이버 공격의 약 93%가 이메일을 통해 유입됐다”며 주의가 필요하다고 당부했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
hoje@sedaily.com
