국내 암호화폐 거래소와 이용자들을 노린 사이버 공격이 증가하고 있는 가운데, 일명 ‘코니(Konni)’라고 불리는 해킹 조직이 주범 중 하나로 지목받고 있어 업계 이슈가 되고 있습니다.

안랩 측에 의하면, 이 조직은 2018년 초·중반만 하더라도 이메일 첨부 파일명에 이중 확장자와 공백을 포함시켜 실행 파일임을 숨기는 방식을 써오다가, 2018년 하반기 이후에는 ‘아마데이’라는 봇넷 악성코드를 사용하는 등, 악성코드 유포 방식을 다양하게 변화시켜 왔다고 합니다.

안드로이드용 악성 앱 제작·유포 ⓒTVCC

특히 올 상반기부터는 윈도우 뿐만 아니라, 안드로이드용 악성 앱을 제작해 유포하기 시작했다는데요. 악성앱은 아이콘을 숨기고, 백그라운드 상에서 정보 탈취 등의 악의적인 행위를 수행합니다.

최근 들어서는 악성코드 공격에 한글(hwp) 문서 파일 취약점을 악용한 것으로 보이는데요. 이스트시큐리티는 지난 1일 '마케팅플랜'이라는 이름의 악성 한글 파일을 발견했으며, 안랩도 여행 티켓 신청 관련 내용의 악성 한글 파일을 포착했다고 보고했습니다.

보안업체 "코니·김수키 연관성" 제기 ⓒTVCC

무엇보다 관심을 끄는 것은 해킹의 배후인데요. 정부 후원을 받는 것으로 추정되지만 아직까지 배후가 누구인지, 정확히 밝혀지지 않아, 국내외 보안업계에서는 코니의 배후에 대한 다양한 의견이 제시됐는데요. 일각에서는 한국이나 중국을 배후로 지목해왔지만, 국내 보안업체들은 북한 3대 해커 조직 중 하나로 알려진 ‘김수키’와 연결고리가 있을 가능성을 제기하고 있습니다.

실제로 이스트시큐리티와 안랩은 최근 잇따라 내놓은 보고서를 통해, 김수키가 썼던 악성코드를 코니가 사용한 흔적과, 명령제어 서버(C2)의 도메인과 IP 주소가 동일하다는 점을 제시하며, 두 조직 간의 연관성을 지적했는데요.

물론, 혼란을 주기 위한, 공격자들의 위장 전술일 가능성도 있지만, 한 가지 확실한 점은, 코니 조직이 과거에 북한과 관련된 정치적, 사회적 위협 활동에 집중해 오다가, 지금은 암호화폐로 외화벌이를 함께 수행하고 있다는 점이라는 분석입니다.

이와 같은 범죄 조직의 암호화폐 거래소와 이용자들을 타깃으로 한 해킹에 노출되는 것을 최소화하기 위해서는, 신뢰하기 어려운 앱을 설치하거나, 링크를 함부로 클릭하지 않도록 하며, 모바일 보안 제품 사용도 생활화하는 노력이 필요할 것으로 보입니다.

보다 다양한 정보 및 방송 관련 소식은

공식 SNS 채널을 통해 확인 가능합니다.