카톡 친구가 보낸 파일 눌렀더니…북한발 '지인 사칭' 피싱 포착 작성일 03-16 20 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">이메일 침투→카톡 확산…지인 신뢰 악용한 다단계 공격<br>단순 파일 차단 한계…'이상 행동 탐지' 대응 필요</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qDOqKZ2uHv"> <figure class="figure_frm origin_fig" contents-hash="babf951559c0211b0b6a462cb261195650bf7e86662a4eeb78356751eaef6f9f" dmcf-pid="BwIB95V75S" dmcf-ptype="figure"> <p class="link_figure"><img alt="신분위장 북한 IT인력 (PG) [강민지 제작] 일러스트" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202603/16/yonhap/20260316112424486urke.jpg" data-org-width="1200" dmcf-mid="zv2DmiOcYT" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202603/16/yonhap/20260316112424486urke.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 신분위장 북한 IT인력 (PG) [강민지 제작] 일러스트 </figcaption> </figure> <p contents-hash="786cd028288292d043b60f179657e5e80c3c2d828bb328d29354e646dec222c0" dmcf-pid="brCb21fz1l" dmcf-ptype="general">(서울=연합뉴스) 권하영 기자 = 북한 연계 해킹 조직으로 알려진 '코니(Konni)'가 스피어피싱 이메일과 카카오톡을 연계한 다단계 공격을 전개하고 있어 사용자들의 각별한 주의가 요구된다.</p> <p contents-hash="43f875ed5b97c890686ed4938421fe73fa60ae6f405f6baa543c23763681c41a" dmcf-pid="KmhKVt4qYh" dmcf-ptype="general">정상 이메일로 위장해 사용자 PC에 악성코드를 심고, 이를 통해 탈취한 메신저 계정에서 주변 지인에게 악성코드를 재유포하는 '신뢰 기반' 수법이다.</p> <p contents-hash="7271a828c9a33970fc08145f6802df8199e08c74378c3029ba3c34cd8c202dbd" dmcf-pid="9sl9fF8BtC" dmcf-ptype="general">16일 사이버 보안 기업 지니언스 시큐리티 센터가 발표한 위협 인텔리전스 분석 보고서에 따르면, 코니 조직은 최근 이 같은 방식의 지능형 지속 위협(APT) 공격을 감행하고 있다.</p> <p contents-hash="b5290868c687fe52b030ebc8b43cef6711fc27089cd78e5acbcffe3c8abe128f" dmcf-pid="2OS2436b1I" dmcf-ptype="general">이 공격은 '북한 인권 강사 위촉 안내'로 위장한 스피어피싱 이메일에서 시작된다.</p> <p contents-hash="38b0af815ef2e28975ebad650605f6c89f741fe1dd9c51e115bf1190737d4d39" dmcf-pid="VIvV80PKHO" dmcf-ptype="general">스피어피싱은 특정인을 노려 실제 업무 연락처럼 위장한 이메일이나 메시지를 보내 악성코드를 심는 사이버 공격이다.</p> <p contents-hash="1f8c365d89323250ee30ef1678dbea1f5ea1376299ec827bd0543f58c73b9f80" dmcf-pid="fvGPMze41s" dmcf-ptype="general">공격자는 이메일에 첨부된 압축파일 안에 악성 바로가기(LNK) 파일을 포함시켜 사용자가 실행하도록 유도한다. 사용자가 문서를 열기 위해 해당 LNK 파일을 더블클릭하는 순간, 내부에 숨겨진 악성 스크립트가 실행되며 PC가 감염되는 구조다.</p> <p contents-hash="5ef31f8bfef9a855b8a727b18285692a7cb053daf46d3be159d94ba214b8d19c" dmcf-pid="4THQRqd8Ym" dmcf-ptype="general">이번 공격의 특징은 감염된 단말기에 설치된 카카오톡 PC 버전을 공격 확산의 매개체로 활용했다는 점이다.</p> <p contents-hash="01cf6abc100f309f0591701134b577b4119a371a2d17685b88dcc328add0204f" dmcf-pid="8yXxeBJ6Gr" dmcf-ptype="general">공격자는 피해자의 PC에 장기간 잠복하며 계정 정보 등을 탈취한 뒤, 이를 기반으로 카카오톡 PC 버전 세션에 비인가 방식으로 접근한 것으로 파악됐다.</p> <p contents-hash="1df62d1e75b780ceac089f925faa09b0301d99d0e38778db886c0f4b4cb9274f" dmcf-pid="6WZMdbiPXw" dmcf-ptype="general">이후 피해자의 친구 목록 중 일부를 선별해 '북한 관련 영상 기획안' 등으로 위장한 악성파일을 다시 전송하는 방식으로 공격을 이어갔다.</p> <p contents-hash="f038264d528ca18d25d1d69292f842cfb5ac7e3369558f384ae584a0c7f6c855" dmcf-pid="PY5RJKnQ5D" dmcf-ptype="general">이는 기존 피해자와의 신뢰 관계를 이용하기 때문에 수신자가 별다른 의심 없이 파일을 열어볼 가능성이 매우 높다.</p> <p contents-hash="5b07a7235d4d0b658d78338b00fc1e37f10003bf22ec03a859f088ad007e49c1" dmcf-pid="QG1ei9Lx5E" dmcf-ptype="general">지니언스는 이를 단순한 정보 탈취를 넘어선 '계정 기반 재확산'의 위험 모델로 평가하며, 신뢰 관계를 악용한 다단계 공격 구조가 형성되고 있다고 분석했다.</p> <p contents-hash="4c3b4d4f8c32892bdeb9e36150ebf1d1a0751a3758b3f2b1d71adc56dedceb48" dmcf-pid="xHtdn2oMHk" dmcf-ptype="general">보안 업계 전문가는 "무작위 공격이 아닌 소수 인원만 타기팅해 정교하게 공격하는 방식"이라며 "1차 피해자의 컴퓨터로 원격 접속해 이미 로그인된 카카오톡을 악용하는 것이기 때문에 '해외 접속' 표시도 뜨지 않게 된다"고 설명했다.</p> <p contents-hash="66f3f0127e76792fc283906988d43c06a6db46a5a0a9d40f95a294653b462337" dmcf-pid="ydoH5OtW1c" dmcf-ptype="general">지니언스는 갈수록 정교해지는 APT 공격에 대응하기 위해 단순한 침해지표(IoC) 중심의 차단을 넘어 엔드포인트 탐지 및 대응(EDR) 중심의 이상행위 대응 체계 도입이 시급하다고 제언했다.</p> <p contents-hash="6313e096c6b49d9c547b34069def4b27bb0793b41590ec561a724d3fb0ae8754" dmcf-pid="WJgX1IFYYA" dmcf-ptype="general">조직 차원에서 메신저를 통한 파일 송수신 보안 가이드 마련, 비정상적인 대량·반복 전송 패턴 탐지, 중요 단말의 세션 보호 여부 점검 등이 필요하다는 전언이다.</p> <p contents-hash="410f736eec7282af22ba9421cfa5339edb36e41fba259ed498d9c5fab0204e52" dmcf-pid="YiaZtC3G5j" dmcf-ptype="general">또한, 문서 아이콘으로 위장한 바로가기 파일이나 공문 형식을 가장한 첨부파일에 대해 사용자가 경계심을 가질 수 있도록 교육을 강화해야 한다고 강조했다.</p> <p contents-hash="1b260d653a3ed1c7674fc6a0d86954984719d665b4d8e090a9d5a8b91a329a30" dmcf-pid="GdoH5OtW1N" dmcf-ptype="general">지니언스 시큐리티 센터 관계자는 "이번 공격은 기존 피해자를 추가 공격의 매개체로 악용한다는 점에서 위협성이 매우 높다"며 "실시간 행위 기반 탐지가 가능한 보안 플랫폼을 통해 초기 침투부터 장기 잠복 행위까지 전 과정을 맥락 기반으로 파악하고 대응해야 한다"고 전했다.</p> <p contents-hash="c0f12e8e445f4df8fd79112e8d4ec4237ea396cad470a5d69ea79e754bf53780" dmcf-pid="HJgX1IFYHa" dmcf-ptype="general">kwonhy@yna.co.kr</p> <p contents-hash="ad4c38e718c3b208eddcedb4c19b3ef5c2aeb143b278b6b5d4e5b302c8d86b01" dmcf-pid="ZnN5Fh0H5o" dmcf-ptype="general">▶제보는 카톡 okjebo</p> </section> </div> <p class="" data-translation="true">Copyright © 연합뉴스. 무단전재 -재배포, AI 학습 및 활용 금지</p> 관련자료 이전 “SBOM 기반 공급망 보안 내재화”… 정부, 지원 사업에 40억 투입 03-16 다음 中 대학 전공도 '1400개 싹둑'···AI 맞춤 커리큘럼, 한국은 '구경만' 03-16 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
