북한 해킹 조직 코니, 네이버·구글 광고 시스템 악용해 악성코드 유포

북한과 연계된 것으로 알려진 해킹 조직 코니(Konni)가 국내외 양대 포털 사이트인 네이버와 구글의 광고 시스템을 교묘하게 악용하여 악성코드를 유포하는 신종 공격을 감행하고 있습니다. 일명 포세이돈 작전(Operation Poseidon)으로 명명된 이번 공격은 사용자가 무심코 클릭하는 광고 추적 경로를 노려 보안망을 우회하는 고도화된 수법을 사용하고 있어 각별한 주의가 필요합니다. 보안 전문 기업 지니언스 시큐리티 센터(GSC)는 최근 발간한 위협 인텔리전스 보고서를 통해 이들의 지능형 지속 위협(APT) 실태를 경고했습니다.

포털 광고 추적 시스템을 노린 정교한 우회 공격

이번에 발견된 포세이돈 작전의 핵심은 사용자가 포털 사이트의 배너나 링크를 클릭할 때 이동하는 중간 경로인 클릭 추적(Click Tracking) 시스템을 악용했다는 점입니다. 해커들은 정상적인 광고 URL 구조를 정교하게 모방하여 사용자가 광고를 클릭했을 때 실제 광고 페이지가 아닌 악성 파일이 심어진 외부 서버로 연결되도록 유도했습니다. 이 방식이 위험한 이유는 기존 보안 시스템을 무력화하기 때문입니다. 보안 솔루션이나 AI 탐지 도구가 해당 링크를 검사하더라도 겉으로는 네이버나 구글의 정상적인 도메인으로 인식되기 때문에 차단하기가 매우 어렵습니다. 코니 조직은 과거 네이버 광고 경로를 주로 악용하던 것에서 나아가 최근에는 구글의 광고 인프라까지 공격 범위를 확장했습니다. 또한 보안 관리가 취약한 워드프레스 기반 웹사이트를 악성 서버로 활용하며 차단될 경우 빠르게 서버를 교체하는 치밀함을 보이고 있습니다.

이메일 첨부파일 주의, 바로가기(LNK) 파일 실행 금지

공격의 시작점은 주로 스피어 피싱 이메일입니다. 해커들은 금융기관이나 북한 인권 단체 등을 사칭하여 금융거래 확인, 소명자료 제출 등 피해자가 열어볼 수밖에 없는 업무 관련 내용으로 위장한 메일을 발송합니다. 메일에는 압축파일 다운로드를 유도하는 링크나 첨부파일이 포함되어 있습니다. 사용자가 압축을 해제하면 PDF 문서 아이콘으로 위장한 바로가기(LNK) 파일이 나타납니다. 사용자가 내용을 확인하기 위해 이 파일을 실행하면 화면에는 정상적인 문서가 열리는 것처럼 보이지만 백그라운드에서는 악성 스크립트(AutoIt)가 몰래 작동하여 PC에 원격제어 악성코드를 설치합니다. 이 모든 과정이 순식간에 일어나고 별도의 이상 징후가 나타나지 않아 사용자가 해킹 사실을 인지하기는 매우 어렵습니다.

피해 예방을 위한 필수 보안 수칙

정상적인 포털의 광고 도메인 자체를 차단하는 것은 현실적으로 불가능하므로 개인과 기업 차원에서의 세심한 주의와 예방이 필수적입니다. 첫째, 파일 확장자를 반드시 확인해야 합니다. 이메일로 받은 압축파일 내부에 PDF나 HWP 문서 아이콘을 하고 있더라도 실제 확장자가 .lnk(바로가기)라면 100% 악성 파일일 가능성이 높으므로 절대 실행해서는 안 됩니다. 둘째, 출처가 불분명한 메일은 열람을 자제해야 합니다. 특히 금융기관이나 공공기관을 사칭한 메일은 발신자 주소를 꼼꼼히 대조하고 첨부파일을 실행하기 전 해당 기관에 유선으로 확인하는 것이 안전합니다. 셋째, 고도화된 위협에 대응할 수 있는 보안 솔루션을 도입해야 합니다. 기존의 백신 프로그램으로는 탐지가 어려운 파일리스 공격이나 비정상적인 행위를 실시간으로 감지하고 차단할 수 있는 EDR(엔드포인트 탐지 및 대응) 솔루션 활용을 적극 고려해야 합니다. 최신 보안 위협 정보와 해킹 피해 신고 방법은 한국인터넷진흥원 보호나라 홈페이지에서 확인하실 수 있습니다.