북한 연계 해킹 조직으로 알려진 ‘코니(Konni)’가 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱) 이메일과 카카오톡 메신저를 연계해 악성코드를 유포하는 다단계 공격을 벌이고 있는 것으로 나타났다. 16일 사이버 보안 기업 ‘지니언스’에 따르면 코니는 특정 목표를 정한 뒤 공격이 성공할 때까지 장기간 집요하게 침투하는 수법인 ‘지능형 지속 위협(APT)’ 공격을 이어가고 있다. 특히 이번 공격은 감염된 PC의 카카오톡 PC 버전을 확산 경로로 활용한 점이 특징이다. 공격은 스피어피싱 이메일에서 시작된다. 정상적인 이메일처럼 보이지만 악성 바로가기(LNK) 파일이 포함, 사용자가 해당 파일을 실행하면 내부에 숨겨진 악성 스크립트가 작동하며 PC가 감염된다. 이후 공격자는 감염된 단말기에 장기간 잠복해 내부 문서와 계정 정보를 탈취한 뒤 피해자의 카카오톡 PC 버전에 무단으로 접근한다. 이어 친구 목록 가운데 일부를 선별해 ‘북한 관련 영상 기획안’ 등으로 위장한 악성