[아이뉴스24 김국배 기자] 국내 암호화폐 거래소와 이용자를 노린 사이버 공격이 증가하고 있는 가운데 일명 '코니(Konni)'라고 불리는 해킹 조직이 주범 중 하나로 지목받고 있다.
정부 후원을 받는 것으로 추정되지만 아직까지 배후가 누구인지는 명확히 알려지지 않았다.
6일 보안업계에 따르면 해외에서는 코니로 잘 알려진 해킹 조직이 국내 암호화폐 거래소와 이용자를 타깃으로 해킹 공격을 지속적으로 전개하고 있다.
안랩 측은 "이 조직은 2018년 초·중반만 하더라도 이메일 첨부 파일명에 이중 확장자와 공백을 포함시켜 실행파일임을 숨기는 방식을 써왔다"며 "2018년 하반기 이후에는 '아마데이'라는 봇넷 악성코드를 사용하는 등 악성코드 유포 방식을 다양하게 변화시켜 왔다"고 설명했다.
특히 올 상반기부터는 윈도뿐 아니라 안드로이드용 악성 앱을 제작해 유포하기 시작했다는 점도 눈에 띈다. 악성 앱은 아이콘을 숨기고 백그라운드 상에서 정보 탈취 등의 악의적인 행위를 수행한다.
코니는 최근 들어선 악성코드 공격에 한글(hwp) 문서 파일 취약점을 악용하기 시작했다. 이스트시큐리티는 지난 1일 '마케팅플랜'이라는 이름의 악성 한글 파일을 발견했으며, 안랩도 여행 티켓 신청 관련 내용의 악성 한글 파일을 포착했다.
무엇보다 관심을 끄는 건 해킹 배후다. 그 동안 국내외 보안업계에서는 코니의 배후에 대해 시각차를 보였다. 일각에서는 한국, 중국 등을 배후로 지목하기도 했다.
그러나 국내 보안업체들은 코니가 북한 3대 해커 조직 중 하나로 알려진 '김수키'와 연결고리가 있을 가능성을 제기하고 있다.
실제로 이스트시큐리티, 안랩은 최근 잇따라 내놓은 관련 보고서를 통해 김수키가 썼던 악성코드를 훗날 코니가 사용한 흔적, 명령제어 서버(C2)의 도메인과 IP주소가 동일한 사례 등이 목격된다는 사실을 제시하며 두 조직 간의 연관성을 지적했다.
다만 '프로파일링'이 단기간에 이뤄지기 힘든 작업인 데다 이에 혼란을 주기 위한 공격자들의 위장 전술도 진화하고 있어 아직 단정 짓기는 힘들다.
이스트시큐리티 관계자는 "현재까지 확실한 점은 코니 조직이 과거 북한과 관련된 정치·사회적 위협 활동에 집중해오다 지금은 암호화폐 외화벌이를 함께 수행한다는 것"이라며 "이런 활동 반경은 김수키 조직과 분명 오버랩되는 지점"이라고 말했다.
NSHC 관계자도 "(코니를) 김수키에서 분리된 하위 조직으로 보고 있다"고 전했다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기