심리상담사·인권운동가 연쇄 피해
지니언스 “실질적 파괴 단계 진입”
| 스마트에프엔 = 정윤호 기자 | 북한 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종해 개인정보를 탈취하고 기기 데이터를 통째로 삭제하는 전례 없는 사이버 공격을 감행한 정황이 포착됐다. 이번 공격은 단순 정보 유출을 넘어 실생활 기기를 파괴하는 수준으로 진화해 국가안보 차원의 우려가 제기되고 있다.
10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면, 북한 배후로 지목된 해커들은 지난 9월 개인 사용자의 스마트폰과 컴퓨터를 동시에 장악한 뒤 원격 초기화 및 악성코드 유포를 수행했다. 피해자는 심리상담사와 북한 인권운동가로 확인됐다.
보고서에 따르면 해커는 9월 5일 국내 한 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 이용해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 다수의 지인에게 전송했다. 이어 9월 15일에는 북한 인권운동가의 스마트폰이 동일한 방식으로 초기화됐고 이 계정이 지인 36명에게 같은 악성 파일을 퍼뜨리는 데 이용됐다.
지니언스는 이번 공격이 신뢰 관계를 악용한 사회공학적 방식의 전형적인 북한발 해킹으로 분석된다고 밝혔다. 그러나 단순 메시지 유포를 넘어선 점에서 기존 공격과는 차별화된 특징이 발견됐다.
해커는 피해자의 스마트폰과 PC에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 IT 서비스의 로그인 정보를 빼냈다. 이후 구글 위치 기반 기능을 이용해 피해자가 자택이나 사무실을 벗어난 시점을 파악하고 ‘내 기기 허브’(Find My Device) 기능을 통해 스마트폰을 원격 초기화했다.
이와 동시에 자택 또는 사무실에 남아 있던 감염된 PC나 태블릿을 활용해 ‘스트레스 해소 프로그램’으로 위장한 추가 악성코드를 지인들에게 배포했다. 피해자 스마트폰은 푸시 알림과 전화·메시지 수신이 차단된 상태로 전환돼 지인들의 경고 연락이 닿지 않았고 이로 인해 피해가 급속히 확산됐다.
보고서에 따르면 해커는 감염된 기기에서 사진 문서 연락처 등 주요 데이터를 삭제했다. 더 나아가 PC의 웹캠을 통해 피해자의 외부 활동 여부를 확인하고 이를 공격 타이밍에 활용한 정황도 포착됐다. 악성코드 내부에는 웹캠 및 마이크 제어 기능이 포함돼 있었으며 피해자의 행동을 감시했을 가능성이 제기됐다.
지니언스 보고서는 “안드로이드 기기 데이터 삭제와 계정 탈취를 결합한 공격은 과거 북한발 해킹에서는 한 번도 시도된 적이 없는 형태”라며 “북한의 사이버공격이 일상생활을 직접 위협하는 파괴 단계로 진입하고 있다”고 분석했다.
지니언스는 이번 사건을 계기로 보안 수칙 준수를 강력히 권고했다. 구글 계정 비밀번호를 주기적으로 변경하고, 로그인 2단계 인증을 반드시 적용해야 하며 브라우저의 비밀번호 자동 저장 기능은 비활성화해야 한다.
아울러 외출 시에는 컴퓨터 전원을 완전히 끄는 습관이 필요하다고 덧붙였다. 또한 디지털 기기 제조사 차원에서 다중 인증체계 강화를 도입해야 한다고 조언했다.
한편, 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이다. 경찰은 사용된 악성코드의 구조가 북한 해킹 조직이 과거 활용해온 코드와 유사하다는 사실을 확인했으며 이번 공격이 북한의 지휘 하에 조직적으로 이뤄졌을 가능성에 주목하고 있다.