네이버·구글 광고로 악성코드 유포…北해킹조직, 작전명 '포세이돈' 포착 : zum 뉴스

북한 연계 해킹 조직으로 알려진 '코니(Konni)'가 네이버와 구글의 광고를 악용하고 있어 주의가 필요합니다.

사이버 보안 기업 지니언스 시큐리티 센터의 '위협 인텔리전스 분석 보고서'를 보면, 이번 해킹 작전명은 '포세이돈'입니다.

광고를 선택하면 광고주 페이지로 이동하기 전에 '클릭 추천'을 거치는데, 해커들이 이 경로를 해킹해 악성 파일이 심어진 외부 서버로 유도했습니다.

보안 시스템이나 인공지능(AI) 탐지 도구가 해당 링크를 검사하더라도, 네이버나 구글의 정상적인 도메인으로 인식하기 때문에 차단하기 어렵다는 점을 노린 것입니다.

지니언스 측은 "과거에는 주로 네이버 광고 경로를 악용한 사례가 많았으나, 최근에는 구글의 광고 인프라까지 공격에 활용하는 등 범위가 확대되고 있다"며 "정상적인 광고 트래픽 사이에 공격 코드를 끼워 넣는 것이 코니 조직의 주요 침투 수법으로 자리 잡았다"고 설명했습니다.

광고 뿐만 아니라 정교한 사칭 이메일도 주의해야 합니다.

코니 조직은 금융기관이나 북한 인권 단체 등을 가장해 '금융거래 확인'이나 '소명자료 제출'과 같은, 피해자가 열어볼 수밖에 없는 업무 관련 내용으로 접근했습니다.

사용자가 이메일 본문에 포함된 링크를 클릭하면 압축파일이 다운로드 되는데, 압축파일 내부에 들어있는 파일은 언뜻 보면 PDF 문서 아이콘을 하고 있지만 실제로는 윈도우 바로가기(LNK) 유형의 악성 파일입니다.

이 파일을 실행하면 문서가 열리는 것처럼 보이지만, 이후 악성 스크립트(오토잇·AutoIt)가 자동으로 작동해 사용자 PC에 원격제어 악성코드를 설치합니다.

감염 과정이 별도의 추가 동작 없이 순식간에 이뤄져 일반 사용자는 해킹 사실을 인지하기 어렵습니다.

지니언스 분석팀은 악성 파일 내부 코드에서 'Poseidon-Attack(포세이돈 공격)'이라는 문자열이 포함된 개발 경로를 발견했습니다.

이를 근거로 해커 조직이 이번 캠페인을 '포세이돈'이라는 프로젝트명으로 내부 관리하며 체계적으로 준비해 온 것으로 분석했습니다.

보안 전문가들은 이번 사례가 단순한 피싱을 넘어 국가 배후 해킹 조직의 고도화된 공격임을 시사한다고 경고했습니다.

지니언스 시큐리티 센터 관계자는 "정상적인 광고 도메인을 무작정 차단하는 것은 현실적으로 불가능해 기존 패턴 기반의 보안 체계로는 방어에 한계가 있다"며 "파일 실행 이후 PC 내부의 이상 행위와 외부 통신을 실시간으로 감지할 수 있는 EDR(엔드포인트 탐지 및 대응) 솔루션 도입이 필수적"이라고 강조했다.

아울러 "이메일에 첨부된 압축파일, 특히 그 안에 포함된 바로가기(LNK) 파일은 절대 실행해서는 안 된다"고 당부했습니다.