북한 정부와 연관성이 커지는 '코니' 해킹조직이 한국과 미국을 포함한 각국에서 피싱 이메일 공격을 확대한 것으로 나타났다.
미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)은 최근 '코니' 해킹조직에 의한 피싱 이메일 공격을 포착했다면서 보안 경보를 발행했다.
CISA 측은 “'코니'에 의한 악성 마이크로소프트(MS) 워드 문서가 이메일을 통해 유포 된다”면서 “감염 시 파일 탈취, 키보드 입력 캡처, 스크린샷 촬영, 공격 코드 실행 등 우려가 있다”고 경고했다.
'코니'는 북한 관련 인물을 주요 표적으로 노리는 해킹조직이다. 스피어피싱 공격을 주로 감행하며 2014년부터 사이버공격 사례가 지속 포착됐다. 'n번방', 코로나19 사태 이후 '마스크' 등 사회 관심이 고조된 이슈를 공격에 악용한다.
공격 배후로는 초창기 한국과 북한, 중국 정부 등이 거론됐다. 이후 이스트시큐리티와 안랩 등 국내 보안업체에서 '코니'와 '김수키' 간 유사성을 분석한 보고서를 잇달아 발표했다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “공격에 사용된 명령제어(C2) 서버와 인터넷프로토콜(IP) 등을 보면 과거 '김수키'가 사용하던 것과 유사성이 발견된다”면서 “'코니'와 '김수키' 간 공통점이 많고 연관성이 의심되는 증거가 많다”고 설명했다.
안랩이 지난해 8월 발행한 '오퍼레이션 머니홀릭' 보고서에 따르면 '코니'는 한글 문서를 활용해 악성코드를 유포하기도 했다.
미국 연방정부가 지원하는 비영리단체 마이터(MITRE) 역시 '코니'를 분석하면서 북한 관련 주제를 활용한 여러 캠페인과 연관성을 보인다고 지적했다. 또 글로벌 보안업체 파이어아이가 분류한 해킹조직 '지능형지속위협(APT)37'과 관련이 있다고 명시했다. APT37은 북한 정부가 배후로 지목되는 해킹조직이다.
북한이 올해 방산 분야를 겨냥한 사이버공격을 대폭 강화한 가운데 '코니' 공격까지 확산하면서 피싱 이메일에 의한 정보 유출이 우려된다.
미국 육군은 최근 북한 군사 분석 보고서를 발표하면서 북한 정찰총국 산하 121국에 6000명 이상 인력이 사이버전을 위해 활동하며 대부분 벨라루스, 중국, 인도, 말레이시아, 러시아 같은 해외에서 움직인다고 적시했다.
북한은 미림대학, 김책공업종합대학, 김일성종합대학 등에서 인력을 차출해 사이버부대를 만들며 최근 '능라88' '클락새' 등 소프트웨어(SW)와 애플리케이션(앱)을 제작해 내부 보안 체계 구축에 나선 것으로 전해졌다.
'김수키'는 지난해 MS가 미국 버지니아주 연방법원에 고소장을 제출한 이후 '탈륨'이라고도 불린다. ESRC는 '탈륨'이 지난해 10월 한국 K대학교 러시아연구소 소속 박사가 보낸 것처럼 위장해 스피어피싱 공격을 펼쳤다고 밝혔다.
문 센터장은 “피싱 이메일은 조직과 네트워크에 침투하기 위한 시작점”이라면서 “위협이 당장 눈에 보이지 않더라도 피싱 이메일 하나로 초래되는 문제는 매우 심각하다”고 경고했다.
오다인기자 ohdain@etnews.com
