콘니 APT, AI 생성 PowerShell 백도어를 활용한 블록체인 분야 공격 확대

콘니 APT, AI 생성 PowerShell 백도어로 공격 대상 확대

북한과 연계된 지능형 지속 위협(APT) 그룹 **콘니(Konni)**가 블록체인 개발자 및 엔지니어링 팀을 대상으로 한 피싱 캠페인에서 AI 생성 PowerShell 악성코드를 배포한 것으로 확인됐다. 체크포인트(Check Point) 보안 연구팀이 탐지한 이번 캠페인은, 전통적인 공격 대상인 한국, 러시아, 우크라이나, 유럽 국가를 넘어 일본, 호주, 인도 등 신규 지역으로 공격 범위를 확대한 것으로 분석됐다.

기술적 세부 사항

콘니의 최신 공격 작전은 인공지능 도구를 활용해 생성 또는 최적화된 것으로 의심되는 PowerShell 기반 백도어를 활용한다. 정확한 AI 모델이나 기법은 아직 확인되지 않았지만, 해당 악성코드는 다음과 같은 자동화된 코드 생성의 특징을 보인다:

• 시그니처 기반 탐지를 회피하기 위한 폴리모픽 스크립팅
• 정적 분석을 방해하는 난독화 기법
• 모듈형 페이로드 전달로 감염 후 동적 기능 실행 가능

공격 체인은 블록체인 업계 전문가를 대상으로 한 표적 피싱 이메일로 시작되며, 주로 합법적인 프로젝트 업데이트, 협업 요청, 기술 문서 등으로 위장한다. PowerShell 스크립트가 실행되면 지속성 유지 및 명령제어(C2) 인프라와 통신을 시작해 데이터 유출, 내부 이동(lateral movement), 2차 페이로드 배포 등을 수행한다.

영향 분석

블록체인 개발자를 대상으로 한 공격 방향 전환은 암호화폐 탈취, 공급망 공격, 스파이 활동을 통한 금전적 이익 확보를 우선시하는 북한의 사이버 범죄 전략과 일치한다. AI 생성 악성코드의 사용은 방어자들에게 다음과 같은 위험을 초래한다:

• 탐지 효율성 저하: AI 기반 코드 변형으로 전통적인 시그니처 기반 방어 체계의 효과 감소.
• 공격 개발 가속화: 위협 행위자가 악성코드 변형을 신속하게 반복해 공격 템포 증가.
• 진입 장벽 하락: 기술 수준이 낮은 공격자도 AI 도구를 활용해 공격 역량 강화 가능.

콘니가 일본, 호주, 인도로 공격 범위를 확대한 것은 이들 지역에서 성장 중인 블록체인 생태계를 악용하려는 의도로 보이며, 해당 지역의 규제 체계 및 보안 태세가 아직 성숙하지 않은 점을 노린 것으로 분석된다.

대응 권고 사항

블록체인 분야 및 표적 지역의 보안 팀은 다음 대응 조치를 우선시해야 한다:

1. 피싱 방어 강화

   • AI 기반 이상 탐지 기능이 포함된 이메일 필터링 솔루션 도입.
   • 엔지니어링 및 개발 팀을 대상으로 정기적인 피싱 모의훈련 실시.

2. PowerShell 활동 모니터링

   • 가능한 경우 서명된 스크립트로 PowerShell 실행 제한.
   • PowerShell 명령어에 대한 로깅 및 행위 분석 구현.

3. 위협 탐지 개선

   • 엔드포인트 탐지 및 대응(EDR) 도구를 활용해 비정상적인 프로세스 실행 식별.
   • 콘니 인프라와 연계된 C2 통신 패턴 탐지.

4. 개발 환경 보안 강화

   • 블록체인 개발 도구 및 저장소에 대한 최소 권한 접근 제어 적용.
   • 공급망 위험을 고려한 서드파티 종속성 감사.