북한 해킹조직 코니(KONNI), 카카오톡 통해 ‘스트레스 해소 프로그램’ 위장 공격
국세청 사칭 스피어피싱으로 피해자 기기에 침투한 뒤, 카카오톡 친구에게 ‘스트레스 해소 프로그램’을 전송해 감염시키는 새로운 해킹 공격이 확인됐습니다. 이번 공격은 북한 배후 해킹조직으로 알려진 코니(KONNI)가 수행한 것으로 분석됐습니다.
코니(KONNI), 국세청 사칭 피싱으로 초기 침투
지니언스 시큐리티 센터(GSC)에 따르면 코니는 ‘탈세 신고에 따른 설명 자료 제출 안내.zip’ 등 국세청을 사칭한 피싱 메일을 통해 최초 피해자에게 접근했습니다. 첨부파일을 열면 악성코드가 설치되어 내부 정찰 및 원격 모니터링이 가능해졌습니다.
피해자 중에는 탈북 청소년 심리상담사 등 민감한 분야 종사자도 포함되어 있었으며, 이들의 계정 정보를 탈취해 카카오톡 계정을 해킹한 후 2차 공격에 활용했습니다.
카카오톡 통해 ‘스트레스 해소 프로그램’ 악성파일 유포
감염된 피해자의 카카오톡 계정을 이용해 ‘스트레스 해소 프로그램’이라는 이름의 MSI 악성 파일이 지인들에게 전송되었습니다. 파일을 실행하면 공격자는 피해자의 스마트폰 위치를 확인하고, 원격으로 기기를 초기화해 작동을 중단시킬 수 있었습니다.
합법적 서명으로 위장한 악성코드
이번에 발견된 악성파일에는 중국 청두 허천잉자 광업 파트너십 명의의 유효한 디지털 서명이 포함되어 있었습니다. 이를 통해 파일의 출처와 무결성을 위장해 사용자가 합법적인 프로그램으로 착각하도록 유도했습니다.
장기 잠복 및 감시 기능 확인
코니 그룹은 피해자 시스템에 장기간 잠복하며, 웹캠과 마이크를 통한 모니터링도 수행한 것으로 드러났습니다. 사용자 부재 시간을 파악해 추가 침투나 정보 수집을 이어갔다는 분석입니다.
보안 권고: 계정 보안 강화와 파일 검증 필수
GSC는 보고서에서 구글 및 네이버 계정의 비밀번호를 정기적으로 변경하고, 2단계 인증(2FA)을 반드시 활성화할 것을 권고했습니다. 또한 메신저를 통해 받은 파일은 실행 전 반드시 보안 검증을 거쳐야 하며, 원격삭제 요청의 합법성을 확인하는 절차를 강화해야 한다고 강조했습니다.
