북한 연계 해킹 조직으로 알려진 '코니(Konni)'가 이메일과 카카오톡을 연계한 다단계 사이버 공격을 시도하고 있는 것으로 나타나 사용자들의 주의가 요구된다.

지난 16일 사이버 보안 기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 지속하고 있다.

기사의 이해를 돕기 위해 AI로 생성된 이미지

이들은 정상적인 이메일로 가장해 사용자 컴퓨터에 악성코드를 설치한 후, 탈취한 메신저 계정을 활용해 지인들에게 악성코드를 재배포하는 '신뢰 기반' 수법을 사용한다.

공격은 '북한 인권 강사 위촉 안내'라는 제목으로 위장한 스피어피싱 이메일에서 시작된다. 스피어피싱은 특정 대상을 겨냥해 실제 업무 메일처럼 꾸민 이메일이나 메시지를 통해 악성코드를 심는 사이버 공격 기법이다.

해커들은 이메일에 압축파일을 첨부하고, 그 안에 악성 바로가기(LNK) 파일을 숨겨 놓는다. 사용자가 문서를 확인하려고 LNK 파일을 더블클릭하는 순간, 내장된 악성 스크립트가 작동하면서 PC 감염이 이뤄진다.

이번 공격에서 주목할 점은 감염된 컴퓨터의 카카오톡 PC 버전을 공격 확산 도구로 악용했다는 것이다. 공격자들은 피해자의 PC에 오랜 기간 은밀히 잠복하면서 계정 정보를 수집한 뒤, 이를 바탕으로 카카오톡 PC 버전 세션에 무단으로 침입했다.

기사의 이해를 돕기 위해 AI로 생성된 이미지

이어 피해자의 친구 목록에서 일부를 골라내 '북한 관련 영상기획안' 등의 이름으로 위장한 악성파일을 재전송하는 방식으로 공격 범위를 넓혔다. 기존 피해자와의 신뢰 관계를 이용하기 때문에 수신자가 의심하지 않고 파일을 열어볼 확률이 상당히 높다는 것이 문제다.

지니언스는 이러한 공격 패턴을 단순한 정보 탈취를 뛰어넘는 '계정 기반 재확산' 위험 모델로 규정했다. 신뢰 관계를 악용한 다단계 공격 구조가 구축되고 있다는 분석이다.