허프포스트코리아

앞으로 네이버와 구글 광고를 클릭할 때 조심해야 할 것으로 보인다. 북한 연계 해킹조직으로 알려진 ‘코니(Konni)’가 국내외 양대 검색사이트인 네이버와 구글 광고시스템을 악용해 악성코드를 유포하는 이른바 ‘포세이돈 작전’을 전개하고 있는 것으로 알려졌다.

북한 연계 해킹조직 '코니'가 구글과 네이버를 비롯한 검색사이트의 광고를 노려 해킹을 감행하고 있다는 보고서가 나왔다. 사진은 이해를 돕기 위해 AI로 생성한 이미지를 재편집한 것. ⓒ 허프포스트코리아

19일 IT업계에 따르면 사이버 보안 전문기업 지니언스 시큐리티는 최근 보고서에서 코니 조직이 겉보기에 정상적 광고로 위장해 기존 보안시스템을 공격하는 지능형 수법을 펼치고 있다고 밝혔다.

북한 연계 해킹조직의 포세이돈 작전은 네이버와 구글 광고시스템에서 활용되는 '클릭 추적 경로'를 악용하는 방식을 취하고 있다. 클릭 추적이란 사용자가 광고를 눌렀을 때 해당 광고주 페이지로 이동하기 전에 거쳐가는 중간 통로를 말한다.

해커들은 이 정상적 URL 구조를 그대로 모방해 사용자가 악성파일이 심어진 외부 서버로 단계적으로 유도하고 있다. 이런 해킹 시도는 보안 시스템이나 인공지능 해킹 탐지도구가 이 링크를 검사하더라도 네이버와 구글의 정상적 도메인으로 인지하기 때문에 차단하기 어려운 것으로 전해진다.

코니 조직은 해킹에 성공한 뒤 금융기관이나 인권단체를 사칭해 이메일을 보내는 수법을 펼치고 있는 것으로 확인됐다.

이들은 금융기관이나 북한 인권단체를 가장해 '금융거래 확인'이나 '소명자료 제출' 형식의 이메일을 보내 피해자가 열어보도록 유도하고 있다. 결과적으로 사용자가 이메일을 확인하고 첨부파일을 열면 자동으로 악성코드가 설치된다.

보안전문가들은 확인되지 않은 이메일에 첨부된 압축파일이나 그 안에 포함된 링크 파일을 절대 실행해서는 안된다고 조언했다.