네이버·구글 광고 악용…북한 해킹조직 '포세이돈 작전' 포착

정상 광고 경로로 위장해 보안망 우회
지니언스 "금융·인권 사칭 메일 주의해야"

신분위장 북한 IT인력 (PG) [강민지 제작] 일러스트

(서울=연합뉴스) 오지은 기자 = 북한 연계 해킹 조직으로 알려진 '코니(Konni)'가 국내외 양대 포털인 네이버와 구글의 광고 시스템을 악용해 악성코드를 유포하는 이른바 '포세이돈 작전'을 전개하고 있는 것으로 드러났다.

이들은 사용자가 포털 사이트의 정상적인 광고를 클릭할 때 이동하는 경로를 해킹 공격에 활용하는 치밀함을 보였다. 겉보기에 정상적인 광고 트래픽으로 위장해 기존 보안 시스템을 무력화하는 수법이다.

◇ "정상 광고인 줄 알았는데"…보안망 우회하는 '클릭 추적' 악용

16일 사이버 보안 전문기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.

이번 '포세이돈 작전'의 핵심은 네이버와 구글 광고 시스템에서 사용되는 '클릭 추적 경로'를 악용했다는 점이다. 클릭 추적이란 사용자가 광고를 눌렀을 때 해당 광고주 페이지로 이동하기 전 거쳐 가는 중간 경로를 말한다.

해커들은 이 정상적인 URL 구조를 그대로 베껴 사용자를 악성 파일이 심어진 외부 서버로 단계적으로 유도했다. 보안 시스템이나 인공지능(AI) 탐지 도구가 해당 링크를 검사하더라도, 네이버나 구글의 정상적인 도메인으로 인식하기 때문에 차단하기 어렵다는 점을 노린 것이다.

지니언스 측은 "과거에는 주로 네이버 광고 경로를 악용한 사례가 많았으나, 최근에는 구글의 광고 인프라까지 공격에 활용하는 등 범위가 확대되고 있다"며 "정상적인 광고 트래픽 사이에 공격 코드를 끼워 넣는 것이 코니 조직의 주요 침투 수법으로 자리 잡았다"고 설명했다.

특히 공격에 사용된 서버 일부는 보안 관리가 상대적으로 취약한 워드프레스 기반 웹사이트인 것으로 확인됐다. 이는 공격 인프라가 차단될 경우 빠르게 서버를 교체해 방어 체계를 따돌리기 위한 전략으로 풀이된다.

◇ 금융기관·인권단체 사칭 메일 주의보…압축파일 속 '바로가기' 조심해야

공격의 시작은 정교한 사칭 이메일이다.

코니 조직은 금융기관이나 북한 인권 단체 등을 가장해 '금융거래 확인'이나 '소명자료 제출'과 같은, 피해자가 열어볼 수밖에 없는 업무 관련 내용으로 접근했다.

사용자가 이메일 본문에 포함된 링크를 클릭하면 압축파일이 다운로드된다. 문제는 압축파일 내부에 들어있는 파일이다. 언뜻 보면 PDF 문서 아이콘을 하고 있지만, 실제로는 윈도우 바로가기(LNK) 유형의 악성 파일이다.

이 파일을 실행하면 문서가 열리는 것처럼 보이지만, 그 뒤에서는 악성 스크립트(오토잇·AutoIt)가 자동으로 작동해 사용자 PC에 원격제어 악성코드를 설치한다. 감염 과정이 별도의 추가 동작 없이 순식간에 이뤄져 일반 사용자는 해킹 사실을 인지하기 어렵다.

지니언스 분석팀은 악성 파일 내부 코드에서 'Poseidon-Attack(포세이돈 공격)'이라는 문자열이 포함된 개발 경로를 발견했다.

이를 근거로 해커 조직이 이번 캠페인을 '포세이돈'이라는 프로젝트명으로 내부 관리하며 체계적으로 준비해 온 것으로 분석했다.

보안 전문가들은 이번 사례가 단순한 피싱을 넘어 국가 배후 해킹 조직의 고도화된 공격임을 시사한다고 경고했다.

지니언스 시큐리티 센터 관계자는 "정상적인 광고 도메인을 무작정 차단하는 것은 현실적으로 불가능해 기존 패턴 기반의 보안 체계로는 방어에 한계가 있다"며 "파일 실행 이후 PC 내부의 이상 행위와 외부 통신을 실시간으로 감지할 수 있는 EDR(엔드포인트 탐지 및 대응) 솔루션 도입이 필수적"이라고 강조했다.

아울러 "이메일에 첨부된 압축파일, 특히 그 안에 포함된 바로가기(LNK) 파일은 절대 실행해서는 안 된다"고 당부했다.

built@yna.co.kr

▶제보는 카카오톡 okjebo
▶연합뉴스 앱 지금 바로 다운받기~
▶네이버 연합뉴스 채널 구독하기
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>