[뉴스스페이스=김정영 기자] 북한 연계 해킹 조직 '코니(Konni)'가 네이버와 구글의 광고 클릭 추적 경로를 악용해 악성코드를 유포하는 '포세이돈 작전(Operation Poseidon)'을 전개 중이다.

지니언스 시큐리티 센터(GSC)의 위협 인텔리전스 보고서에 따르면, 이 조직은 정상 광고 도메인(ad.doubleclick.net, mkt.naver.com)을 위장해 보안 시스템을 우회하며, 2025년 5~7월 네이버 중심에서 최근 구글 인프라로 확대됐다. 국내외 매체 보도에 따르면, 코니는 김수키(Kimsuky) 또는 APT37과 연계된 북한 국가 배후 집단으로, 유엔 제재 모니터링팀(MSMT) 보고서에서 63연구소 산하 조직으로 식별됐다.
​

광고 클릭 추적 악용, 단계적 유인 수법

코니 조직은 스피어 피싱 이메일로 금융기관(금감원 사칭)이나 대북 인권단체를 가장해 '금융거래 확인' '소명자료 제출' 등의 주제로 접근한다. 피해자가 링크를 클릭하면 압축파일(.zip)이 다운로드되며, 내부 LNK(바로가기) 파일이 PDF처럼 위장해 AutoIt 스크립트를 실행, 원격제어 악성코드(RAT: RemcosRAT, QuasarRAT 등)를 설치한다.

악성코드 분석에서 'Poseidon-Attack' 문자열이 반복 확인됐으며, 이는 프로젝트명으로 체계적 관리 증거다. 서버 인프라는 보안 취약 WordPress 기반(예: bp-analytics.de)이 주를 이루며, 차단 시 신속 교체로 지속성을 유지한다.
​

고도화된 APT 전술, 과거 패턴 연장

코니의 포세이돈 작전은 2025년 4월 경찰청·국가인권위 사칭 캠페인(지니언스 보고서)과 유사하며, AutoIt 기반 방어 회피와 MSI 패키지(EMCO MSI Package Builder v11.2.x 사용)를 공유한다. 최근 안드로이드 공격 변종에서는 구글 Find Hub를 악용해 원격 초기화(Remote Wipe)를 시도, 데이터 삭제 사례 다수 발생했다.

IOC(침해지표)로는 MD5 해시 14종(예: 5ab26df9c161a6c5f0497fde381d7fca), IP 12개(116.202.99.218 등), 도메인 7개(oldfoxcompany.com 등)가 확인됐다. 다양한 기관들이 이 수법의 정교함을 강조하며, 기존 시그니처 기반 보안의 한계를 지적했다.
​

피해 확대 우려, EDR 도입 강조

지니언스 관계자는 "정상 광고 도메인 차단 불가로 패턴 보안 한계 명확, PC 이상행위·외부 통신 실시간 감지 EDR 필수"라고 밝혔다. Konni의 RAT 인젝션(예: hncfinder.exe 프로세스)과 C2 서버(독일·일본 IP)를 상세 분석, 한국 금융·정부 부문 타깃 경고를 발령했다.

압축파일 내 LNK 실행 금지와 2FA 강화가 즉시 대응법으로 꼽히며, 2026년 1월 19일 기준 국내 보안 커뮤니티에서 유사 감염 보고 증가 추세다. 전문가들은 국가 배후 APT의 진화로 사이버 국방 강화가 시급하다고 입을 모았다.