“정말 무서운 세상이네, 카톡 친구 보낸 파일도 함부로 열면 낭패”…북한發 피싱 확산

이메일 침투→카톡 확산

카카오톡으로 악성코드가 심어진 파일을 유포한 사례. [지니언스]

북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 스피어피싱 이메일과 카카오톡을 연계한 다단계 공격을 전개하고 있어 각별한 주의가 필요하다.

스피어피싱은 정상 이메일로 위장해 사용자 PC 등에 악성코드를 심고 감염시킨 후 주변 친구들에게 악성코드를 다시 유포하는 수법이다.

16일 사이버 보안 기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.

이 공격은 ‘북한 인권 강사 위촉 안내’로 위장한 스피어피싱 이메일에서 시작된다.

공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(LNK) 파일을 포함시켜 사용자가 실행하도록 유도한다. 사용자가 문서를 열기 위해 해당 LNK 파일을 더블 클릭하는 순간, 내부에 숨겨진 악성 스크립트가 실행되면서 PC가 감염된다.

이번 공격의 특징은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 것이다.

공격자는 피해자의 PC에 장기간 잠복하며 계정 정보 등을 탈취한 뒤, 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 파악됐다.

이후 피해자의 친구 목록 중 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성파일을 다시 전송하는 방식으로 공격하고 있다. 이는 기존 피해자와의 신뢰 관계를 악용하기 때문에 수신자가 별다른 의심없이 파일을 열어볼 가능성이 매우 높다.

피싱. 기사 이해를 돕기 위한 사진임. [게티이미지뱅크]

보안업계 관계자는 “1차 피해자의 컴퓨터로 원격 접속해 이미 로그인된 카카오톡을 악용하는 것이기 때문에 ‘해외 접속’ 표시도 뜨지 않게 된다”면서 “로그인 2단계 인증과 브라우저 비밀번호 자동저장 차단, PC 미사용 시 전원 차단 등 평소 기본 보안수칙을 강화해야 한다”고 당부했다.