⁠⁠⁠⁠⁠⁠⁠

ⓒ게티이미지뱅크

북한 해킹그룹 '코니'(Konni)가 경찰청과 국가인권위원회를 사칭한 메일을 유포하고 있어 주의가 요구된다. 코니는 허위 이메일로 접근해 수신자가 해킹 사고나 인권침해 사건에 연루된 것처럼 불안심리를 자극해, 악성파일을 설치하도록 유도하는 수법으로 해킹을 시도했다.

지니언스 시큐리티 센터(GSC)는 코니가 올해 1월부터 3월까지 한국을 타깃으로 벌인 지능형지속위협(APT) 캠페인을 분석한 위협보고서를 최근 발표했다.

먼저 코니는 북한인권분야 및 대북 비정부기구(NGO) 소속 활동가를 겨냥해 인권위를 사칭한 스피어피싱(Spearfishing) 메일을 뿌렸다. 스피어피싱은 작살(Spear)로 물고기를 잡듯 특정 개인이나 조직을 표적으로 지속해 공격하는 수법을 말한다.

코니는 '[공지] 인권침해 행위에 대한 경고 및 시정 요청' 제목의 메일을 보내 접근했다. 특히 인권위 공식 도메인에서 발송된 것처럼 보이도록 발신지 주소를 정교하게 조작했으며, 메일 하단에 '인권침해 행위에 대한 경고 및 시정요청.zip' 악성 압축파일을 다운받도록 유인했다.

GSC는 “해킹메일 예방 보안교육에서 발신지 주소의 공식 여부를 꼼꼼히 살피도록 강조한다”면서 “이번처럼 정교하게 조작된 경우 단순히 메일 주소만 100% 신뢰했다간 예기치 못한 위협에 노출될 수 있다”고 우려했다.

경찰청 사이버범죄수사과 수사관 명의를 도용한 스피어피싱 메일도 확인됐다. 경찰청 사칭 메일은 수신자의 이메일 계정 정보가 침해당한 사실을 통보하고 추가 피해 방지를 위해 필요한 보안 조치 사항을 안내하는 내용을 담았다.

수신자가 답변 메일을 보내며 반응을 보이면, 회신 메일 보내 본격적인 공격을 개시한다. 회신 메일엔 경찰청 공식 인터넷주소(URL) 주소처럼 보이게 만든 첨부파일 링크가 포함됐으며, 링크를 클릭하면 '????? ???? ??? ????? ?????? ?????(2025.02.21.).zip' 악성 압축 파일로 연결된다.

GSC는 공격기법과 위협 인프라 등을 분석한 결과 코니의 소행으로 결론을 내렸다. 특히 피싱 메일엔 '인차', '태공' 북한어가 다수 발견됐다. 인차는 '즉시', 태공은 '태업'을 뜻한다. 또, '스팸신고가 제기되었습니다'라는 문맥에서 '제기'는 북한에선 '신고'나 '제출'의 의미로 사용한다.

GSC는 “관리자는 행위기반 이상행위 탐지대응 시스템 엔드포인트탐지·대응(EDR) 서비스나 클라우드 기반 관리형 탐지·대응을 위한 고객맞춤형탐지·대응(MDR) 서비스를 도입해 보안 운영 부담을 최소화할 수 있다”고 말했다.

한편, 구글 위협 인텔리전스 그룹은 북한의 정보기술(IT) 인력을 활용한 사이버 위협 활동이 미국을 넘어 유럽에서도 빠르게 확산하고 있다고 발표했다. 구체적으로 미국에서 북한 IT 인력의 위협에 대한 인식이 높아짐에 따라, 가상 인프라 활용 등 새로운 전략을 구사하며 글로벌로 위협 영역을 넓혀가고 있다고 분석했다.

조재학 기자 2jh@etnews.com

Copyright © 전자신문. 무단전재 및 재배포 금지.