[2025년 11월] - Happy Threat Hunting Part 3.

'Threat Hunting'이란 발생할 수 있거나 진행되고 있는 위협을 제거하며, 그 결과를 보안 체계에 적용하는 능동적인 대응 전략입니다.

지속적으로 진화하는 사이버 공격 환경에 대응하려면, 무엇보다도 지속 가능한 위협 대응 생태계 구축이 필수적입니다.
기업은 워크플로우와 AI Agent를 통해 위협 해석을 자동화하여 비용을 절감하고, 창의적인 위협 가설 수립과 능동적인 공격 표면 관리를 강화할 수 있습니다.

더 이상 사람이 직접 디지털 신호를 분석·대응하는 전략은 적합하지 않습니다.
현대 기술은 이미 전통적 운영 방식의 한계를 추월했으며, 조직은 현재 상황을 정확히 진단하고 자동화로 대체 가능한 업무를 최소화하는 전략이 필요합니다.

김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 코니(Konni) APT 캠페인의 새로운 공격 정황이 포착됐습니다.

지니언스 시큐리티 센터(GSC)는 코니의 활동을 추적하는 과정에서, 한국의 카카오톡 메신저를 통해 악성파일이 대량으로 유포된 사실을 발견했습니다. 

최근 확인된 코니 캠페인에서는, 한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화되어 기기에 저장된 개인 데이터가 무단 삭제되는 피해가 발생한 점이 주목됩니다.

데이터 파괴 공격에 악용된 구글 '내 기기 허브(Find Hub)' 서비스는 도난·분실된 안드로이드 기기를 보호하기 위해 제공되는 기능입니다. 

공격자는 탈취한 구글 계정으로 원격 제어 권한을 확보한 후, 내 기기 허브를 통해 기기 위치 추적 및 원격 초기화를 수행했습니다.

이처럼 단말 무력화와 계정 기반 전파를 결합한 공격은 기존 국가 배후 APT 공격 시나리오에서 전례가 없으며, 본 보고서를 통해 최초로 식별·분석됐습니다.

이는 공격의 전술적 성숙도와 탐지 회피 전략의 고도화를 입증하는 동시에, APT 전술 진화의 분기점을 보여주는 핵심 지표로 판단됩니다.

Qilin은 'Agenda' 랜섬웨어로도 알려져 있으며, 약 2022년 7월경 첫 출현이 보고된 이후 랜섬웨어 서비스 모델을 통해 다양한 조직을 공격해오고 있습니다.

이 조직은 기본적으로 '랜섬웨어 개발자 + 제휴 공격자(affiliates)' 형태의 RaaS 플랫폼을 운영하며, 제휴 공격자는 Qilin이 제공하는 인프라·툴을 이용해 공격을 수행하고 그 수익을 나누는 구조를 갖고 있습니다.

2025년 9월 29일경 일본 아사히 그룹이 디지털 주문·출하·고객서비스 시스템 장애를 겪었으며, 이후 Qilin이 해당 공격을 자처하고 약 9,300여 건의 파일(약 27GB) 탈취를 주장했습니다.

아사히 그룹은 일본 내 제조·출하망이 마비됨으로써 일부 생산라인 및 물류에 지장을 겪었고, Qilin은 공격 직후 자사 데이터 유출사이트에 아사히 그룹 관련 문서 스크린샷 및 내부자료 일부 게시했습니다.

이처럼 Qilin은 RaaS 운영 모델을 통해 제휴 공격자를 광범위하게 모집하고 있고, 기술적 완성도와 공격 규모·속도 측면에서도 급격히 성장하고 있습니다.