 |
일러스트=챗GPT |
북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 네이버와 구글의 광고 시스템을 악용해 악성코드를 유포하는 이른바 ‘포세이돈 작전’을 전개하고 있는 것으로 나타났다. 이들은 이용자가 포털 사이트의 광고를 클릭할 때 이동하는 경로를 해킹 공격에 활용했다. 정상 광고 경로를 이용해 보안망을 우회하는 수법으로, 기존 보안 체계의 한계를 정면으로 파고들었다는 분석이 나온다.
19일 사이버 보안 전문기업 지니언스의 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니는 포털 광고를 공격 통로로 활용한 지능형 지속 위협(APT) 공격을 감행하고 있는 것으로 드러났다.
이번 ‘포세이돈 작전’의 핵심은 네이버와 구글 광고 시스템에서 사용되는 ‘클릭 추적 경로’를 악용했다는 점이다. 클릭 추적이란 사용자가 광고를 눌렀을 때 해당 광고주 페이지로 이동하기 전 거쳐 가는 중간 경로로, 광고 성과 분석을 위해 정상적으로 사용되는 URL 구조다.
사용자가 검색 결과 상단의 광고를 클릭하면, 겉으로는 정상적인 광고 주소를 거쳐 최종 목적지 사이트로 이동하는 것처럼 보인다. 그러나 해커들은 이 정상적인 URL 구조를 그대로 베껴 짧은 이동 과정 사이에 사용자를 악성 파일이 심어진 외부 서버로 단계적으로 유도했다. 보안 시스템이나 인공지능(AI) 탐지 도구가 해당 링크를 검사하더라도, 네이버나 구글의 정상적인 도메인으로 인식하기 때문에 차단하기 어렵다는 점을 노린 것이다.
지니언스는 “과거에는 주로 네이버 광고 경로를 악용한 사례가 많았으나, 최근에는 구글의 광고 인프라까지 공격에 활용하는 등 범위가 확대되고 있다”며 “정상적인 광고 트래픽 사이에 공격 코드를 끼워 넣는 것이 코니 조직의 주요 침투 수법으로 자리 잡았다”고 설명했다.
특히 공격에 사용된 서버 일부는 보안 관리가 상대적으로 취약한 워드프레스 기반 웹사이트인 것으로 조사됐다. 이는 공격 인프라가 차단될 경우 빠르게 서버를 교체해 방어 체계를 따돌리기 위한 방법으로 보인다.
코니 조직은 정교한 사칭 이메일로 공격을 시작했다. 금융기관이나 북한 인권 단체 등을 가장해 ‘금융거래 확인’이나 ‘소명자료 제출’과 같이 피해자가 열어볼 가능성이 높은 업무 관련 내용으로 접근했다.
사용자가 이메일 본문에 포함된 링크를 클릭하면 압축파일이 다운로드된다. 압축파일 내부에 들어있는 파일은 언뜻 보면 PDF 문서 아이콘을 하고 있지만, 실제로는 윈도우 바로가기(LNK) 유형의 악성 파일이다. 이 파일을 실행하면 문서가 열리는 것처럼 보이지만, 그 뒤에서는 악성 스크립트(오토잇·AutoIt)가 자동으로 작동해 사용자 PC에 원격제어 악성코드를 설치한다.
지니언스 분석팀은 악성 파일 내부 코드에서 ‘Poseidon-Attack(포세이돈 공격)’이라는 문자열이 포함된 개발 경로를 발견했다.
보안 전문가들은 이번 사례가 단순한 피싱을 넘어 국가 배후 해킹 조직의 고도화된 공격임을 시사한다고 경고했다.
지니언스 시큐리티 센터 관계자는 “정상적인 광고 도메인을 무작정 차단하는 것은 현실적으로 불가능해 기존 패턴 기반의 보안 체계로는 방어에 한계가 있다”며 “파일 실행 이후 PC 내부의 이상 행위와 외부 통신을 실시간으로 감지할 수 있는 EDR(엔드포인트 탐지 및 대응) 솔루션 도입이 필수적”이라고 강조했다.
아울러 “이메일에 첨부된 압축파일, 특히 그 안에 포함된 바로가기(LNK) 파일은 절대 실행해서는 안 된다”고 당부했다.
이재은 기자(jaeeunlee@chosunbiz.com)
<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.