[서울=뉴시스] 신효령 기자 = #1. 퇴근을 앞둔 오후, 급히 자료를 찾던 직장인 A씨는 포털 검색창에 키워드를 입력했다. 검색 결과 맨 위에 뜬 링크에는 '광고' 표시가 붙어 있었지만, 주소도 익숙했고 화면도 평소와 다르지 않았다. A씨는 별다른 의심 없이 클릭했다. 그러나 그 순간, A씨의 컴퓨터는 이미 해커가 설계해 둔 공격 경로 안으로 들어가고 있었다. 화면에는 아무 변화도 없었지만, 보이지 않는 곳에서는 악성코드 설치가 조용히 시작되고 있었다.

최근 북한과 연계된 것으로 추정되는 해킹 조직이 국내외 주요 포털 사이트의 광고 시스템을 악용해 악성코드를 유포하는 정황이 포착됐다.

19일 사이버 보안 전문기업 지니언스의 시큐리티 센터가 발표한 분석 보고서에 따르면, 북한 연계 해킹 조직 '코니(Konni)'가 포털 광고를 공격 통로로 활용한 정밀 해킹 캠페인을 벌이고 있는 것으로 나타났다.

해커들은 이용자들이 일상적으로 신뢰하는 구글과 네이버의 검색 광고 시스템을 악용했다. 이들이 파고든 기술적 허점은 광고 클릭 과정에 사용되는 '리다이렉션(중간 경유 주소)' 구조다.

사용자가 검색 결과 상단의 광고를 클릭하면, 겉으로는 정상적인 광고 주소를 거쳐 최종 목적지 사이트로 이동하는 것처럼 보인다. 그러나 실제로는 이 짧은 이동 과정 사이에 해커가 운영하는 악성 서버가 은밀하게 끼어들어 있다.

이 과정은 눈으로 인식하기 어려울 정도로 순식간에 진행된다. 주소창에는 잠시 네이버나 구글과 같은 정상 포털 도메인이 표시되기 때문에, 일반 이용자는 물론 인공지능(AI) 기반 보안 시스템조차 이를 정상적인 링크로 오인하고 통과시키기 쉽다. 바로 이 짧은 순간에 원격 제어 프로그램이나 정보 탈취용 악성 파일이 사용자 PC에 설치된다.

지니언스 분석팀 확인 결과, 악성코드 내부에는 'Poseidon-Attack(포세이돈 공격)'이라는 문자열이 포함돼 있는 것으로 알려졌다.

지니언스의 시큐리티 센터는 이번 공격이 무작위로 불특정 다수를 노리는 일반적인 사기 수법과는 다르다고 설명한다. 특정 업무 환경에 놓인 직장인들을 정밀하게 겨냥한 '표적 공격'이라는 점에서 위험성이 더 크다는 분석이다.

자료 검색이 잦은 일반 직장인을 비롯해 연구·기획·행정직 인력, 공공기관과 민간기업 종사자들이 공격 대상에 포함됐다. 이메일이나 문자 메시지에 담긴 링크는 경계하는 경우가 많지만, 포털 사이트 검색 결과 상단에 노출된 광고는 업무의 연장선으로 인식되기 쉽다. 해커들은 바로 이 지점을 노려 이용자의 경계심을 무너뜨렸다.

지니언스는 피해를 줄이기 위해서는 일상 속 작은 습관이 중요하다고 강조했다. 우선 검색 광고 링크라고 해서 무조건 신뢰하지 말고, 클릭 전 한 번 더 의심하는 태도가 필요하다. 링크를 누른 직후 파일이 자동으로 내려받아지거나 실행 권한을 요구하는 경우에는 즉시 작업을 중단해야 한다.

지니언스 관계자는 "주소창에 표시된 도메인을 꼼꼼히 살펴볼 필요가 있다. 정상 사이트와 매우 비슷하지만 철자가 미묘하게 다른 주소가 섞여 있을 수 있기 때문이다"며 "PC에 설치된 보안 소프트웨어를 항상 최신 상태로 유지해 실시간 탐지 기능을 강화하는 것도 기본적인 대비책"이라고 설명했다.


◎공감언론 뉴시스 snow@newsis.com