북한 연계 해킹 조직으로 알려진 코니(Konni) 그룹이 한국에서 널리 사용되는 메신저 플랫폼 카카오톡(KakaoTalk)을 이용해 악성코드를 확산시키는 사이버 공격을 벌이고 있는 것으로 나타났습니다.
한국 사이버 보안 기업 지니언스(Genians) 시큐리티 센터는 16일 발표한 위협 인텔리전스 보고서에서 코니 그룹이 이메일과 카카오톡을 이용한 공격 활동을 수행한 정황이 확인됐다고 밝혔습니다.
지니언스에 따르면 이번 공격은 특정 인물을 겨냥한 스피어피싱(spear-phishing) 이메일로 시작됩니다. 스피어피싱은 불특정 다수를 대상으로 하는 일반 피싱과 달리 특정 개인이나 조직을 목표로 맞춤형 메시지를 보내는 사이버 공격 방식입니다.
분석에 따르면 공격자는 북한 관련 강연이나 영상 제작 제안 등으로 위장한 이메일을 보내 피해자가 첨부된 압축파일을 열도록 유도했으며, 사용자가 압축파일 안에 포함된 바로가기(LNK) 파일을 실행하면 악성 스크립트가 작동하며 시스템을 감염시키는 체계입니다.
연구진은 이후 공격자가 PC로 접속하는 카카오톡 체계를 이용해 피해자의 지인들에게 악성 파일을 보내 공격을 확산시킨 정황을 확인했다고 밝혔습니다.
지니언스 보고서에 따르면 공격자는 “북한 관련 영상 기획안” 등의 제목으로 위장한 파일을 전달한 것으로 나타났습니다.
카카오톡은 한국에서 널리 사용되는 메신저 서비스로 개인 사용자뿐 아니라 기업과 기관에서도 활용되고 있습니다.
지니언스 보안센터는 지난 1월 북한과 연계된 해킹 조직 코니가 글로벌 인터넷 검색 엔진 구글과 네이버의 광고 시스템을 악용해 악성코드를 유포하는 정교한 사이버 공격을 전개하고 있다는 사례를 보고한 바 있습니다.
또 구글 위협 인텔리전스 그룹(Google Threat Intelligence Group)은 2월 보고서에서 북한 연계 해킹 조직이 생성형 인공지능 도구 제미나이(Gemini)를 이용해 공격 대상 정보를 수집하고 피싱 공격을 준비한 사례가 확인됐다고 밝혔습니다.
VOA 뉴스