북한 연계 코니, 이메일·카카오톡 결합 해킹 주의

북한 연계 해킹 조직으로 알려진 ‘코니(Konni, 2014년부터 활동이 포착된 북한 연계 해킹 그룹)’가 스피어피싱 이메일로 사용자 PC에 악성코드를 심은 뒤, 탈취한 메신저 계정을 이용해 지인에게 다시 악성코드를 유포하는 다단계 공격을 전개하고 있다.

지니언스시큐리티 센터(국내 보안 기업 지니언스 산하의 위협 인텔리전스 전문 기구)가 지난 16일 발표한 보고서에 따르면, 이번 공격은 '북한 인권 강사 위촉 안내'로 위장한 스피어피싱 이메일에서 시작되며 첨부된 압축파일 내 악성 바로가기(LNK) 파일 실행을 유도해 PC 감염을 시도한다.

감염된 PC에 설치된 카카오톡 PC 버전 세션에 비인가 방식으로 접근해 접속 정보를 탈취하는 기술을 사용한다. 탈취한 정보를 이용해 지인에게 악성 파일을 재유포하는 '신뢰 기반' 수법을 쓰며, 이는 '해외 접속' 표시 없이 이뤄져 탐지가 어렵다.

지니언스시큐리티 센터는 이를 계정 기반 재확산 모델로 평가하며, 엔드포인트 탐지 및 대응(EDR, PC 등 단말기 내부 행위를 실시간 모니터링해 위협을 탐지·대응하는 기술) 중심의 이상 행위 대응 체계 도입과 메신저 보안 가이드 마련을 대응책으로 제언했다.

조직 차원에서는 메신저를 통한 파일 송수신 보안 가이드를 마련하고, 비정상적인 데이터 전송 패턴이나 중요 단말의 세션 보호 여부를 점검하는 조치가 필요하다. 지니언스는 문서 아이콘으로 위장한 바로가기 파일에 대한 보안 교육과 '행위 기반' 탐지 강화의 중요성을 강조했다.

본 기사는 AI가 생성하였으며, 사람이 검수한 기사이다.