북한 연계 해킹 조직으로 알려진 ‘코니’가 네이버와 구글의 광고 시스템을 악용해 악성 코드를 유포한 정황이 포착됐다. 정상적인 광고 클릭 경로를 활용해 기존 보안망을 우회하는 고도화된 사이버 공격이라는 분석이 나온다.
지난 16일 국내 사이버 보안 기업 지니언스 시큐리티센터가 공개한 위협 인텔리전스 보고서에 따르면 코니는 최근 네이버·구글 광고 시스템에서 쓰이는 ‘클릭 추적 경로’를 악용해 지능형지속위협(APT) 공격을 감행했다. 클릭 추적 경로는 광고 페이지로 이동하기 전 거치는 중간 인터넷 주소(URL)다.
해커들은 이 정상 URL 구조를 그대로 모방해 사용자를 악성 파일이 심어진 외부 서버로 단계적으로 유도했다. 보안 솔루션이 해당 링크를 검사하더라도 정상 도메인으로 인식해 차단이 쉽지 않다는 점을 노린 것이다.
지니언스에 따르면 공격은 주로 금융회사나 북한 인권단체를 사칭한 이메일에서 시작된다. ‘금융거래 확인’ 등 업무성 제목으로 클릭을 유도해 압축 파일을 내려받게 하고, 사용자가 이를 실행하면 악성 스크립트가 작동되면서 원격 제어 악성 코드가 설치되는 방식이다.
지니언스는 악성 코드에서 ‘포세이돈-어택’이라는 문자열이 포함된 것을 확인했다. 지니언스 관계자는 “포세이돈이라는 악성 코드가 유포됐을 가능성이 있다”며 “출처가 불확실한 이메일에 첨부된 압축 파일은 절대 실행하지 말아야 한다”고 당부했다.
최영총 기자 youngchoi@hankyung.com
지난 16일 국내 사이버 보안 기업 지니언스 시큐리티센터가 공개한 위협 인텔리전스 보고서에 따르면 코니는 최근 네이버·구글 광고 시스템에서 쓰이는 ‘클릭 추적 경로’를 악용해 지능형지속위협(APT) 공격을 감행했다. 클릭 추적 경로는 광고 페이지로 이동하기 전 거치는 중간 인터넷 주소(URL)다.
해커들은 이 정상 URL 구조를 그대로 모방해 사용자를 악성 파일이 심어진 외부 서버로 단계적으로 유도했다. 보안 솔루션이 해당 링크를 검사하더라도 정상 도메인으로 인식해 차단이 쉽지 않다는 점을 노린 것이다.
지니언스에 따르면 공격은 주로 금융회사나 북한 인권단체를 사칭한 이메일에서 시작된다. ‘금융거래 확인’ 등 업무성 제목으로 클릭을 유도해 압축 파일을 내려받게 하고, 사용자가 이를 실행하면 악성 스크립트가 작동되면서 원격 제어 악성 코드가 설치되는 방식이다.
지니언스는 악성 코드에서 ‘포세이돈-어택’이라는 문자열이 포함된 것을 확인했다. 지니언스 관계자는 “포세이돈이라는 악성 코드가 유포됐을 가능성이 있다”며 “출처가 불확실한 이메일에 첨부된 압축 파일은 절대 실행하지 말아야 한다”고 당부했다.
최영총 기자 youngchoi@hankyung.com
관련뉴스
