정상 이메일로 위장해 사용자 PC에 악성코드를 심고 이를 통해 탈취한 메신저 계정에서 주변 지인에게 악성코드를 재유포하는 ‘신뢰 기반’ 수법이다.
16일 사이버 보안 기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.
이 공격은 ‘북한 인권 강사 위촉 안내’로 위장한 스피어피싱 이메일에서 시작된다. 스피어피싱은 특정인을 노려 실제 업무 연락처럼 위장한 이메일이나 메시지를 보내 악성코드를 심는 사이버 공격이다.
이번 공격은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 점이 특징이다.
공격자는 피해자의 PC에 장기간 잠복하며 계정 정보 등을 탈취한 뒤 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 나타났다.
이후 피해자의 친구 목록 중 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성파일을 다시 전송했다. 기존 피해자와의 신뢰 관계를 이용하기 때문에 수신자가 별다른 의심 없이 파일을 열어볼 가능성이 높다.
지니언스 시큐리티 센터는 단순한 정보 탈취를 넘어선 ‘계정 기반 재확산’의 위험 모델로 평가하며 신뢰 관계를 악용한 다단계 공격 구조가 형성되고 있다고 분석했다.
장구슬([email protected])