"구글·네이버 광고 통해 악성코드 유포"…北 해킹조직 공격 포착

광고 시스템 악용한 악성코드 유포하는 '포세이돈 작전'

[사진=게티이미지뱅크]

북한 연계 해킹 조직으로 알려진 '코니'가 구글과 네이버의 광고 시스템을 악용해 악성코드를 유포하는 해킹 공격을 전개하고 있는 정황이 포착됐다. 

19일 사이버 보안 기업 지니언스 시큐리티 센터의 위협 인텔리전스 분석 보고서에 따르면, 코니 조직이 사용자가 포털의 광고를 클릭할 때 이동 경로를 해킹 공격에 활용하는 등 지능형 지속 위협(APT) 공격을 고도화하고 있다. 

이른바 '포세이돈 작전'으로 불리는 이번 공격의 핵심은 구글과 네이버의 광고 시스템에서 사용되는 '클릭 추적 경고'를 악용했다는 것이다. 클릭 추적은 사용자가 광고를 눌렀을 때 해당 광고주 페이지로 이동하기 전 거쳐 가는 중간 경로를 의미한다. 

해커들은 이러한 URL 구조를 그대로 베껴 사용자를 악성 파일이 심어진 외부 서버로 단계적으로 유도한다. 보안 시스템이나 인공지능(AI) 탐지 도구가 해당 링크를 검사하더라도, 네이버나 구글의 정상적인 도메인으로 인식하기 때문에 차단하기 어렵다고 보고서는 설명했다. 

공격은 사칭 이메일로 시작된다. 코니 조직은 금융기관 등을 가장해 '금융거래 확인'이나 '소명자료 제출'과 같은 사용자가 열어볼 수밖에 없는 업무 관련 내용으로 접근했다. 사용자가 이메일 본문에 포함된 링크를 클릭하면 압축파일이 다운로드된다. 이 파일이 윈도우 바로가기 유형의 악성파일이었다. 

이 파일을 실행하면 문서가 열리는 것처럼 보이지만, 그 뒤에서는 악성 스크립트(오토잇)가 자동으로 작동해 사용자 PC에 원격제어 악성코드를 설치한다. 

지니언스 분석팀은 악성 파일 내부 코드에서 '포세이돈 공격(Poseidon-Attack)'이라는 문자열이 포함된 개발 경로를 발견했다.

이를 근거로 해커 조직이 이번 캠페인을 '포세이돈'이라는 프로젝트명으로 내부 관리하며 체계적으로 준비해 온 것으로 분석했다.