북한과 연계된 해킹 조직이 글로벌 인터넷 검색 엔진 구글과 네이버의 광고 시스템을 악용해 악성코드를 유포하는 정교한 사이버 공격을 전개하고 있는 것으로 나타났습니다.
한국의 사이버 보안업체 지니언스 보안센터는 지난 17일 공개한 보고서에서 북한 연계 해킹 그룹 '코니(Konni)'가 '포세이돈 작전(Operation Poseidon)'이라는 이름의 지능형지속위협(APT) 공격을 수행하고 있다고 밝혔습니다.
지니언스에 따르면 이번 공격의 핵심은 포털 광고 시스템에 내장된 클릭 추적 기술을 악용한 것입니다.
클릭 추적은 사용자가 광고를 클릭한 후 광고주 페이지에 도달하기 전 거치는 중간 URL로, 광고 성과 측정을 위해 정상적으로 사용되는 구조입니다.
해커들은 이 URL 구조를 복사해 사용자를 단계적으로 악성 서버로 유도했으며, 보안 소프트웨어나 인공지능(AI) 기반 탐지 시스템이 링크를 검사할 때 네이버나 구글의 정상 도메인으로 보이게 만들어 차단을 어렵게 했습니다.
보고서는 "2025년 5월과 7월경 네이버 광고 마케팅 플랫폼의 클릭 추적 도메인을 악용한 유사한 공격 시도가 제한적으로 관찰됐다"며 "그러나 가장 최근 확인된 공격 활동에서는 구글 광고 인프라를 중심으로 한 공격 패턴이 지속적으로 유지되고 있다"고 밝혔습니다.
공격의 시작점은 정교하게 제작된 스푸핑 이메일로, 코니 그룹은 금융기관이나 북한 인권단체를 사칭하며 "설명 자료", "송금 확인", "거래 내역", "개인정보 동의" 등 업무 관련 제목으로 수신자의 경계심을 낮췄습니다.
또 이메일의 링크를 클릭하면 압축 파일이 다운로드되고, 그 안에는 문서처럼 보이는 파일이 포함돼도록 설계했습니다.
이 과정에서 악성코드 기반 스크립트가 자동으로 실행돼 원격 제어 악성코드인 EndRAT를 설치하며, 경고 신호 없이 사용자를 감염시킨 것으로 나타났습니다.
지니언스는 인프라, 악성코드, 이전 공격과의 작전 중복을 근거로 이번 활동의 배후로 북한 연계 코니 그룹을 지목했습니다.
보고서는 코니 그룹이 한국의 북한 인권단체와 금융기관을 반복적으로 사칭하는 사회공학 전술을 사용해왔으며, "특정 표적을 대상으로 지속적으로 고도로 정교하고 표적화된 공격을 수행해왔다"고 분석했습니다.
그러면서 이번 사례가 단순한 피싱을 넘어 북한의 국가 지원 해킹 그룹 전술이 더욱 정교해졌음을 보여준다고 경고했습니다.
VOA 뉴스