“친구가 보낸 줄 알았는데”…문자 속 링크, 북한 해커였다
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.
16일 사이버 보안기업 지니언스 시큐리티 센터가 발표한 위협 분석 보고서에 따르면 코니 조직은 피해자의 개인용 컴퓨터(PC)에서 단순히 정보를 빼내는 데서 그치지 않는다.
이미 감염된 피해자를 이용해 공격을 다른 사람에게까지 퍼뜨리는 방식을 사용하고 있다.
이후 공격자는 감염된 컴퓨터의 카카오톡 PC 버전에 비인가 방식으로 접근해 피해자의 친구 목록 일부에게 악성파일을 보낸다.
이 글자크기로 변경됩니다.
(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.
북한 연관 조직 ‘코니’…악성코드 재유포 수법
이메일→카톡 PC 순…가까운 지인 사칭 연락
북한의 해킹 그룹으로 알려진 ‘코니(Konni) 조직이 이메일과 카카오톡을 이용해 다단계 해킹 공격을 시도하고 있는 것이 알려졌다. 이에 보안 전문가들은 지인이 보낸 메시지여도 출처가 불분명한 파일은 열지 않는 등 각별한 주의가 필요하다고 강조했다.
16일 사이버 보안기업 지니언스 시큐리티 센터가 발표한 위협 분석 보고서에 따르면 코니 조직은 피해자의 개인용 컴퓨터(PC)에서 단순히 정보를 빼내는 데서 그치지 않는다. 이미 감염된 피해자를 이용해 공격을 다른 사람에게까지 퍼뜨리는 방식을 사용하고 있다.
해커의 공격은 업무 연락처럼 위장한 이메일이나 메시지를 보내 악성코드를 심는 ‘스피어피싱 이메일’에서 시작된다. 실제 사례에서는 ‘북한 인권 강사 위촉 안내’처럼 수신자의 직무나 관심 분야와 관련된 내용으로 신뢰를 얻은 뒤 첨부파일 실행을 유도했다.
이메일에 첨부된 압축파일을 풀어 정상 문서처럼 보이는 바로가기(LNK) 파일을 실행하면 감염이 시작된다. 이때 컴퓨터에는 외부 서버와 연결돼 해커가 원격으로 제어할 수 있는 악성코드(RAT)가 설치된다.
이후 공격자는 감염된 컴퓨터의 카카오톡 PC 버전에 비인가 방식으로 접근해 피해자의 친구 목록 일부에게 악성파일을 보낸다. 이 파일은 ‘북한 관련 영상 기획안’ 같은 제목으로 위장됐고, 지인 간 신뢰를 이용해 추가 감염을 유도했다는 게 센터의 분석이다.
기술 분석 결과 공격자는 탐지를 피하기 위해 AutoIt 스크립트 언어로 만든 악성코드를 사용한 것으로 나타났다. 분석 과정에서는 EndRAT, RftRAT, RemcosRAT 등의 여러 원격 제어 악성코드가 확인됐다. 이들은 파일 관리나 원격 명령 실행, 데이터 전송 등의 기능을 수행한다.
또 공격자는 장기간 정보를 빼내기 위해 예약 작업 등록 등을 활용했다. 이를 통해 컴퓨터가 재부팅돼도 악성코드는 계속 실행될 수 있었다.
지니언스 시큐리티 센터는 “이번 공격이 지인 간 신뢰를 악용해 확산되는 고위험 해킹 공격”이라며 “출처가 불분명한 메신저 파일은 열지 말고, 메신저 로그인 상태와 보안 설정을 점검하는 등 보안 관리에 주의해야 한다”고 당부했다.
이어 “바로가기(LNK) 파일 실행 이후 발생하는 비정상적인 프로그램 실행이나 외부 서버와의 통신 등을 실시간으로 감지할 수 있는 EDR(엔드포인트 보안 솔루션) 도입이 필요하다”고 덧붙였다.
Copyright © 농민신문. 무단전재 및 재배포 금지.