[K-CTI 2025] 엔키화이트햇 천호진 수석, 북한 연계 Konni 그룹의 정교한 공격 활동 분석 내용 공개해

“보안 담당자들, 단편적인 샘플 분석 넘어 전반적 흐름 파악하는 위협 인텔리전스 역량 반드시 필요해”

데일리시큐가 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 4월 15일 서울 한국과학기술회관에서 700여 명 이상의 보안 실무자가 참석한 가운데 성황리에 개최됐다.

이날 엔키화이트햇 사이버위협대응센터 천호진 수석은 ‘주요 APT그룹 대상 최신 위협 인텔리전스 사례 분석’을 주제로 강연을 진행하며, 최근 SNS상에 공유되던 악성 링크 파일에서 출발해 북한 연계 Konni(코니) 그룹의 활동으로 연결되는 정교한 공격 흐름을 추적했다.

◆링크(LNK) 파일 악성코드, 분석의 시작점

천 수석은 악성 LNK 파일 형식의 위협이 X(전 트위터)에 지속적으로 등장하고 있다는 점에 주목해 분석을 시작했다. 확보한 10개의 샘플은 모두 동일한 파일명 패턴을 따르고 있었고, 이 중 지난 2월 확보된 샘플을 기반으로 실제 행위 흐름 분석을 실시했다.

LNK 파일이 실행되면 첫 번째 단계로 d.ps1 파워쉘 스크립트가 드롭되고 실행되며, 이 스크립트는 드롭박스나 C&C 서버로부터 추가 악성파일이 담긴 압축파일을 다운로드한다. 압축을 해제하면 자바스크립트 파일과 또 다른 파워쉘 스크립트가 포함돼 있으며, 작업 스케줄러 및 레지스트리 등록을 통해 자바스크립트를 자동 실행시키고 감염 지속성을 확보한다.

◆정교한 난독화 기법…수동 분석 회피 전략

해당 공격에서 특징적인 부분은 스크립트에 적용된 복잡한 난독화 기법이다. 문자열 슬라이싱, base64 인코딩, 변수 조합을 통해 명령을 조립하는 구조로, 일반적인 수동 분석을 어렵게 만든다. 천 수석은 “해당 난독화 루틴이 반복적으로 등장해 분석 효율이 떨어졌고, 이를 극복하기 위해 정규표현식을 활용한 자동 분석 스크립트를 개발했다”고 설명했다.

난독화 해제를 통해 파악된 핵심 행위는 감염된 시스템에서 드롭박스를 통해 악성코드를 다운로드하고, 이후 작업 스케줄러와 레지스트리를 조작해 자바스크립트를 자동 실행시키는 과정이다. 자바스크립트 역시 난독화된 데이터를 포함하고 있으며, 이는 구분자(X) 기준 파싱, 바이트 위치 교환 등 복합적인 디코딩 과정을 통해 최종 명령어를 생성한다.

◆구글 드라이브 기반 C2 통신과 감염 절차

자바스크립트 실행 이후 파워쉘 스크립트가 재차 실행되며, 이 단계에서는 구글 API가 하드코딩된 명령어를 통해 구글 드라이브와 통신한다. 우선 감염 로그를 드라이브에 업로드하고, 그 결과에 따라 특정 조건을 만족하는 악성코드를 탐색 후 다운로드한다. 조건은 △폴더 제외, △파일 이름에 오브젝트 네임 포함, △result 문자열 미포함 등이다. 다운로드된 악성코드는 최종적으로 실행되며, 일부 경우 다운로드가 되지 않도록 구성되어 있는 점이 발견돼, 이는 공격자가 외부 분석을 회피하기 위한 조치로 해석된다.

또한, 감염 로그가 업로드된 이후에만 악성코드가 생성되어 다운로드 가능해지는 구조로 볼 때, 공격자는 구글 드라이브의 폴링 또는 Webhook 방식의 트리거를 활용하고 있는 것으로 추정된다.

◆최종 페이로드: AsyncRAT…Konni와의 연결 고리

최종적으로 실행되는 악성코드는 Gzip으로 압축된 AsyncRAT이며, 인메모리에서 직접 실행되는 방식이다. 이 RAT는 오픈소스 AsyncRAT와 구조, 클래스명, 메소드명이 유사하며, 실행 시점에서 C&C 서버 주소를 외부 인자로 받아 동작한다. 앞선 파워쉘 스크립트 내에 해당 주소가 포함되어 있었다.

천 수석은 “분석한 악성코드의 구조가 과거 지니언스 보고서에서 Konni 그룹이 활용한 AsyncRAT와 일치하며, 하드코딩 방식이 아닌 인자 전달 방식으로 바뀌었다는 점에서 새롭게 빌드된 것으로 추정된다”고 설명했다.

또한, 동일한 C&C 서버와 구글 API 키를 사용하는 LNK 파일이 존재하며, 과거 국민비서나 행정안전부를 사칭한 피싱 메일에서도 동일한 인프라가 사용된 정황이 확인됐다. 이는 제작 환경이 다르더라도 동일한 공격 그룹 소행으로 해석할 수 있는 강력한 근거로 제시됐다.

◆현재도 진행 중인 Konni 계열 공격 캠페인

강연 말미에는 Konni 그룹의 최근 공격 사례들도 소개됐다. 가상자산 키워드를 활용한 공격에서는 다수의 배치파일이 드롭되며, C&C 서버 주소와 엔드포인트는 과거 사례와 동일하다. 또한 공격에 사용된 PHP 파일 내에는 특정 IP로 접속 시 로그를 기록하거나, 접속 국가를 기준으로 허용·차단하는 로직, 한국어 주석 등이 존재해 공격자가 한국어에 익숙하며, 국내 사용자를 주요 타깃으로 하고 있음을 시사한다.

연말정산을 키워드로 한 최근 공격에서도 동일한 엔드포인트가 사용됐으며, 공격자는 유사한 이메일 계정을 활용해 지속적으로 캠페인을 전개 중이다. 일부 악성코드는 다운로드가 실패하도록 구성돼 있었으며, 이는 공격자의 미완성 혹은 분석 방해 전략으로 해석된다.

천호진 수석은 “링크 파일로 시작되는 이 공격 흐름은 단순한 LNK 악성코드 실행에 그치지 않고, 구글 드라이브와 드롭박스를 악용한 다단계 악성코드 전개, 그리고 최종적으로 AsyncRAT까지 도달하는 정교한 구조를 갖고 있다”며 “분석을 통해 Konni 그룹과의 명확한 연관성을 파악할 수 있었고, 이들의 공격은 현재도 변형되어 지속되고 있다. 보안 담당자들은 단편적인 샘플 분석을 넘어서 전반적인 흐름을 파악하는 위협 인텔리전스 역량이 반드시 요구된다.”고 강조했다.

엔키화이트햇(대표 이성권)은 공격 기술로 더 안전한 사이버 공간을 만들고 고객의 비즈니스 연속성을 확보하기 위해 혁신적인 보안 서비스를 제공하는 오펜시브 시큐리티 전문 기업이다. 전체 인력의 87%가 보안 전문 인력이며, 국내 최다 화이트해커를 보유하고 있다. DEFCON, CODEGATE 등 국제 해킹 대회 수상 및 운영 실적도 풍부하다.

또한 클라우드 기반 구독형 펜테스팅(Pentesting) 서비스 ‘OFFen ASM’을 통해 조직의 공격 표면을 분석하고, 다양한 산업군에 특화된 실전형 보안 훈련 플랫폼도 제공하고 있다. 실제 공격 시나리오 기반의 실시간 모의훈련, 게임형 점수제 방식 등으로 사용자에게 실전 대응 능력을 강화하는 교육도 진행 중이다.

엔키화이트햇 K-CTI 2025 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★