[디지털데일리 김보민기자] 북한 해킹조직 김수키와 연계 가능성이 거론되는 '코니 위협 활동(이하 코니 캠페인)'이 거세지고 있다는 분석 결과가 나왔다. 이메일에 악성파일과 링크를 삽입해 전달하는 스피어피싱 공격이 다수였는데, 위협 배후를 규명하기 어렵게 공격 도구를 고도화하고 있어 주의가 요구된다.

6일 지니언스시큐리티센터(GSC) 보고에 따르면 코니 캠페인에 대한 위협 활성도는 증가하는 추세다. 코니그룹은 다양한 전술과 기술, 절차(TTPs)를 사용하며 위협 난도를 높이고 있다. 특히 합법적인 클라우드 서비스와 파일전송프로토콜(FTP) 등 단계별 감염 체인 기법을 동원하고 있어 주목된다.

코니 캠페인의 역사는 2014년 시작돼, 2019년 전후로 문서 기반(hwp·doc) 등 공격이 한국에서 다수 포착됐다. 스피어피싱 기반 공격으로 악성파일 등을 전송한 것이 특징이다. 지난해 11월에 발견된 경찰 수사관 사칭 건과, 올 2월 세무법인 사칭 공격이 대표적인 사례다. '최근 해킹사고가 발생해 개인정보가 유출됐다. 관련 자료 송부하오니 확인 후 회신 부탁드린다'는 내용의 메일과 함께 압축파일(zip)을 첨부하는 방식이었다. 압축파일을 풀 비밀번호로는 주민등록증 앞 6자리를 입력하도록 유도하기도 했다.

GSC 설명에 따르면 당시 공격은 대부분 실행파일 유형으로 가해졌다. 각 압축파일 내부에는 서로 다른 'exe' 및 'scr' 확장자 파일이 포함돼 있었다. 압축 내부 악성파일이 실행되면, 추가 모듈을 통해 C2 서버와 연결이 시도됐다. C2 주소는 공격 사례에 따라 서로 다르지만, 웹프리호스팅(WebFreeHosting) 서비스를 통해 생성된 도메인 주소를 나타냈다. 무료 도메인과 호스팅 서비스가 악성 서버를 구축하는 데 악용된다는 의미다.

한국뿐만 아니라 러시아를 대상으로 한 공격도 발생하고 있다. 공격 대상은 주로 대북 분야, 정치, 외교, 안보 전문가를 포함해 외화벌이를 목적으로 추정되는 가상자산 거래 관계자들이 포함돼 있었다.

일례로 한 공격 사례에서는 러시아어로 '여권(Passport).doc'를 의미하는 파일이 첨부됐다. 이는 북한 지역에서 구글바이러스토탈(VT) 서비스에 업로드됐는데, 북한 내 있던 미상 인물이 표적에 노출됐을 가능성을 배제할 수 없다고 GSC는 설명했다. 미끼로 사용된 문서파일의 경우, 한·미관계 상황과 미국 테슬라 일론 머스크 회담 등 여권과는 무관한 내용이 담겼다.

GSC는 "코니 캠페인은 스피어피싱을 핵심 공격 전술로 구사한다"며 "이메일에 첨부(링크)된 파일에 대해 각별한 주의가 필요하다"고 제언했다. 위협 행위자는 국세청, 탈북민 학생 장학금 신청서로 위장하거나 금융당국을 사칭하기도 한다. 금융, 가상자산 관계자가 표적으로 떠오르는 분위기인데, 정보 탈취뿐만 아니라 외화벌이 목적 또한 내포돼 있을 것으로 추정된다.

문제는 이러한 공격은 '알면서도 당한다'는 특징이 있다. 공격 가능성을 인지하고 있더라도 피해를 입을 수 있다는 의미다. 위협 행위자는 탐지나 식별 지표에 걸리지 않기 위해 난독화와 공격 도구를 고도화하는 데 적극적인 것으로 확인됐다. 백신 소프트웨어 시그니처 탐지를 우회하거나, 가독성을 방해하는 방식이었다. 난독화된 문자열이나 암호화 알고리즘으로 빠른 분석이 어렵게 환경을 구성하기도 했다.

GSC는 "과거부터 현재까지 변화 추이를 관찰하고, 단서와 증거를 데이터베이스(DB)화해 상관 관계를 파악하는 연구가 중요하다"고 강조했다.