구글·네이버 광고 클릭했더니 악성코드…北 연계 ‘포세이돈 공격’ 포착

게티이미지뱅크.

국내외 주요 포털의 검색 광고를 악용해 악성코드를 유포하는 북한 연계 해킹 시도가 확인됐다. 이용자가 광고 링크를 클릭하는 순간 해커가 운영하는 서버로 연결돼 정보 탈취가 이뤄지는 방식으로, 정상 트래픽처럼 보이도록 설계돼 탐지가 쉽지 않다는 경고다.

사이버 보안 기업 지니언스 시큐리티센터는 분석 보고서를 통해 북한 연계 해킹 조직 코니가 포털 광고 시스템을 공격 통로로 활용한 정밀 캠페인을 벌이고 있다고 19일 밝혔다. 지니언스는 이번 수법을 악성코드 내부 문자열을 근거로 ‘포세이돈 공격’으로 명명했다.

핵심은 광고 클릭 과정의 ‘리다이렉션(중간 경유 주소)’ 악용이다. 검색 결과 상단의 광고를 누르면 주소창에는 잠시 구글·네이버 등 정상 도메인이 표시되지만, 그 사이에 해커 서버가 끼어들어 원격 제어·정보 탈취용 파일을 내려받게 한다. 전환 속도가 매우 짧아 일반 이용자는 물론 AI 기반 보안도 정상 링크로 오인하기 쉽다.

이번 공격은 불특정 다수를 노리는 피싱과 달리 표적형이다. 자료 검색이 잦은 연구·기획·행정직, 공공기관과 기업 종사자가 주요 대상이다. 이메일·문자 링크는 경계해도, 업무 연장선으로 인식되는 포털 광고는 방심하기 쉽다는 점을 노렸다. 일부 사례에선 PDF 문서로 위장한 파일을 실행하게 해 추가 감염을 유도했다.

지니언스는 대응 요령으로 △검색 광고라도 무조건 신뢰하지 말 것 △클릭 직후 파일 자동 다운로드·실행 요구 시 즉시 중단 △주소창 도메인 철자 미세 차이 확인 △보안 소프트웨어 최신 업데이트 및 실시간 탐지 활성화를 제시했다. 지니언스 관계자는 “정상처럼 보이는 링크일수록 가장 먼저 의심해야 한다”고 강조했다.