티스토리 뷰
목차
신뢰를 해킹하다: '코니' 조직의 이메일·메신저 연계 다단계 공격 실태
북한 연계 해킹 그룹 '코니(Konni)'가 스피어피싱 이메일과 카카오톡을 결합한 정교한 다단계 공격을 전개하고 있다. 공격자는 '북한 인권 강사 위촉' 등의 내용으로 위장한 이메일을 통해 1차 감염을 유도한 뒤, 탈취한 계정으로 피해자의 카카오톡 PC 버전에 접근한다. 이후 지인들에게 악성 파일을 재유포하는 방식으로 '신뢰 기반'의 공격 확산을 도모한다. 보안 업계는 단순 파일 차단을 넘어 행동 기반 탐지(EDR) 시스템 도입 등 고도화된 대응 체계 마련을 촉구하고 있다.
1. 스피어피싱의 진화: 타기팅된 이메일이 여는 지옥문
이번 공격의 시발점은 특정 대상을 정밀하게 겨냥한 스피어피싱(Spear Phishing)이다. 공격 조직 '코니'는 사용자의 관심을 끌 만한 '북한 인권 강사 위촉 안내'와 같은 공문 형식을 빌려 의심의 벽을 허문다. 첨부된 압축파일 내부에는 문서 아이콘으로 위장한 악성 바로가기(LNK) 파일이 숨겨져 있다. 사용자가 문서를 확인하기 위해 파일을 실행하는 순간, 눈에 보이지 않는 악성 스크립트가 시스템 깊숙이 침투하여 PC를 장악한다. 이는 무작위 살포 방식이 아닌, 특정 분야 종사자를 노린 지능형 지속 위협(APT)의 전형적인 모습이다.
2. 메신저 세션 하이재킹: 지인의 이름으로 전송되는 악성코드
1차 침투에 성공한 공격자는 피해자의 단말기에 장기간 잠복하며 민감 정보를 수집한다. 특히 이번 공격에서 주목할 점은 국민 메신저인 카카오톡 PC 버전을 공격의 교두보로 활용했다는 것이다. 공격자는 탈취한 정보를 바탕으로 카카오톡 세션에 비인가 방식으로 접근, 피해자가 이미 로그인해 놓은 상태를 악용한다. 이 경우 '해외 로그인 알림' 같은 기본적인 보안 경고조차 뜨지 않아 사용자는 자신의 계정이 도용되고 있음을 인지하기 어렵다. 지인으로부터 온 '북한 관련 영상 기획안' 메시지는 신뢰 관계 때문에 별다른 의심 없이 열리게 되며, 이는 공격의 기하급수적 확산으로 이어진다.
3. 다단계 공격 구조의 위험성: 피해자가 가해자가 되는 비극
보안 전문 기업 지니언스는 이를 '계정 기반 재확산' 모델로 규정하며 강한 우려를 표했다. 기존의 공격이 단순히 개인 정보를 빼가는 수준이었다면, 코니의 수법은 감염된 사용자를 추가 공격의 매개체로 악용하는 다단계 구조를 띤다. 내가 받은 파일이 악성코드였음을 깨닫기도 전에, 나의 계정을 통해 친구와 동료들에게 독이 든 사과가 배달되는 셈이다. 이러한 신뢰 기반 공격은 백신 프로그램의 파일 검사만으로는 방어에 한계가 있으며, 인간 관계의 허점을 파고든다는 점에서 가장 치명적인 위협이라 할 수 있다.
4. 이상 행동 탐지의 시급성: 단순 차단을 넘어 맥락적 대응으로
갈수록 교묘해지는 해킹 기법에 대응하기 위해서는 보안 패러다임의 전환이 필요하다. 단순히 알려진 악성 파일을 차단하는 침해지표(IoC) 중심의 방어를 넘어, 단말 내에서의 비정상적인 행위를 실시간으로 감시하는 엔드포인트 탐지 및 대응(EDR) 체계 도입이 시급하다. 카카오톡을 통한 대량의 파일 전송이나, 평소와 다른 비정상적인 세션 접근 등을 맥락 기반으로 파악하여 차단해야 한다. 또한 중요 단말에 대한 세션 보호 강화와 더불어 조직 차원의 메신저 보안 가이드 수립이 병행되어야 한다.
5. 사용자 경계심 강화: 디지털 환경에서의 온고지신 안전 수칙
기술적 방어 못지않게 중요한 것은 사용자의 보안 의식이다. 아무리 정교한 보안 시스템도 사용자가 스스로 문을 열어준다면 무용지물이다. 문서 형태를 가장한 바로가기(LNK) 파일에 대한 주의는 물론, 지인으로부터 온 파일이라 할지라도 사전에 약속되지 않은 경우라면 반드시 유선 등을 통해 확인하는 절차를 거쳐야 한다. 신뢰는 확인을 전제로 해야 한다는 디지털 시대의 새로운 상식이 필요한 시점이다. 정부와 기업은 지속적인 교육을 통해 사용자들이 최신 APT 공격의 패턴을 인지하고 스스로를 보호할 수 있는 역량을 갖추도록 지원해야 한다.