북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 네이버와 구글의 광고 시스템을 악용해 악성코드를 유포하는 고도화된 사이버 공격, 이른바 ‘포세이돈 작전(Poseidon Operation)’을 전개하고 있는 것으로 드러났다. 정상 광고 경로를 이용해 보안망을 우회하는 수법으로, 기존 보안 체계의 한계를 정면으로 파고들었다는 평가가 나온다.
사이버 보안 전문기업 지니언스 시큐리티 센터는 지난 16일 공개한 위협 인텔리전스 분석 보고서에서 코니 조직이 최근 네이버와 구글 광고 인프라를 공격 경로로 활용한 지능형 지속 위협(APT) 캠페인을 수행 중이라고 밝혔다.
이번 공격의 핵심은 포털 광고 시스템에 적용되는 ‘클릭 추적 경로’를 악용한 점이다. 클릭 추적은 사용자가 광고를 클릭한 뒤 실제 광고주 페이지로 이동하기 전 거치는 중간 URL로, 광고 성과 분석을 위해 정상적으로 사용되는 구조다.
해커들은 이 합법적인 URL 구조를 그대로 모방해 사용자를 단계적으로 악성 서버로 유도했다. 보안 솔루션이나 AI 기반 탐지 시스템이 해당 링크를 검사하더라도 네이버·구글의 정상 도메인으로 인식해 차단이 어렵다는 점을 노린 것이다.
지니언스는 “과거에는 네이버 광고 경로 악용 사례가 주를 이뤘지만, 최근에는 구글 광고 인프라까지 공격 범위가 확대됐다”며 “정상 광고 트래픽 사이에 악성 행위를 은폐하는 방식이 코니 조직의 대표적인 침투 수법으로 자리 잡고 있다”고 분석했다.
공격에 사용된 일부 서버는 보안 관리가 취약한 워드프레스 기반 웹사이트로 확인됐다. 이는 공격 인프라가 차단될 경우 신속히 서버를 교체해 추적을 회피하기 위한 전략으로 해석된다.
공격의 출발점은 치밀하게 설계된 사칭 이메일이다. 코니 조직은 금융기관이나 북한 인권 단체를 가장해 ‘금융거래 확인’, ‘소명자료 제출’ 등 업무 연관성이 높은 제목으로 수신자의 경계를 낮췄다.
이메일 내 링크를 클릭하면 압축파일이 내려받아지며, 해당 파일 안에는 문서처럼 보이는 파일이 들어 있다. 그러나 실제로는 PDF가 아닌 윈도우 바로가기(LNK) 형태의 악성 파일로, 실행 시 문서가 열리는 것처럼 위장하면서 동시에 악성 스크립트가 작동한다.
이 과정에서 오토잇(AutoIt) 기반 스크립트가 자동 실행돼 원격제어 악성코드가 설치되며, 사용자는 별다른 이상 징후를 인지하지 못한 채 감염된다.
지니언스 분석팀은 악성 파일 내부 코드에서 ‘Poseidon-Attack(포세이돈 공격)’이라는 문자열이 포함된 개발 경로를 발견했다. 이를 토대로 해커 조직이 이번 공격을 ‘포세이돈’이라는 프로젝트명으로 관리하며 체계적으로 준비해 온 것으로 판단했다.
보안 전문가들은 이번 사례가 단순한 피싱 공격을 넘어, 국가 배후 해킹 조직의 공격 기법이 한층 진화했음을 보여준다고 경고한다.
지니언스 시큐리티 센터 관계자는 “정상 광고 도메인을 일괄 차단하는 것은 현실적으로 불가능해 기존 패턴 기반 보안 체계로는 방어에 한계가 있다”며 “파일 실행 이후 단말 내부의 이상 행위와 외부 통신을 실시간으로 탐지할 수 있는 EDR(엔드포인트 탐지·대응) 솔루션 도입이 필수적”이라고 강조했다.
또한 “이메일에 첨부된 압축파일, 특히 그 안에 포함된 바로가기(LNK) 파일은 각별히 주의해야 하며, 출처가 불분명할 경우 절대 실행해서는 안 된다”고 당부했다.
정재홍([email protected])