피해자 외출 시간 노려 원격 초기화·웹캠 감시 정황…지인 통해 악성코드 확산
북한 배후로 추정되는 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종해 주요 데이터를 삭제하고 탈취한 메신저 계정으로 악성 파일을 유포하는 등 파괴적인 사이버 공격을 벌인 정황이 처음으로 포착됐다.
정보보안업체 지니언스 시큐리티 센터는 10일 발표한 위협 분석 보고서에서 “북한이 배후로 지목되는 해커가 단순한 개인정보 탈취를 넘어 현실 세계에서 직접적인 피해를 야기한 사례가 확인됐다”고 밝혔다.
보고서에 따르면 지난 9월5일 국내 한 심리상담사의 스마트폰이 해커에 의해 원격 초기화됐고, 탈취된 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일이 지인들에게 대량 전송됐다. 열흘 뒤인 15일에는 한 북한 인권운동가의 스마트폰이 동일한 방식으로 초기화되고, 탈취된 계정을 통해 36명의 지인에게 악성코드가 확산됐다.
이 같은 공격은 기존의 사회공학적 기법을 이용한 북한발 해킹의 전형적인 형태지만 이번에는 이례적인 공격 수법이 추가됐다. 해커는 피해자의 스마트폰과 PC 등에 침투한 뒤 장기간 잠복하며 구글과 국내 주요 IT 서비스 계정 정보를 탈취했다. 이후 피해자가 외부에 있을 때를 구글 ‘내 기기 허브(Find Hub)’ 기능을 통해 확인한 뒤, 스마트폰을 원격 초기화하고, 동시에 감염된 PC를 이용해 지인들에게 악성 파일을 전파한 것으로 분석됐다.
당시 피해자들의 스마트폰은 전화와 메시지 수신이 차단된 ‘먹통’ 상태가 돼 초기 대응이 지연되면서 2차 피해가 급속히 확산됐다. 일부 피해자는 사진, 문서, 연락처 등 주요 데이터가 완전히 삭제되는 피해를 입었다.
또한 보고서에는 해커가 피해자의 위치 확인과 감시에 PC 웹캠을 활용했을 가능성도 제기됐다. 악성코드 내부에서 웹캠·마이크 제어 기능이 확인돼, 피해자의 일상 행적이 노출됐을 가능성이 있다는 것이다.
지니언스는 “안드로이드 기기 데이터 삭제, 계정 탈취, 원격 공격 전파 등 복합적 수법이 동원된 것은 전례 없는 사례”라며 “북한의 사이버공격이 단순한 해킹을 넘어 일상 공간까지 침투하는 ‘실질적 파괴 단계’로 진화하고 있다”고 분석했다.
보안 전문가들은 이 같은 피해를 막기 위해 ▲로그인 시 2단계 인증 활성화 ▲브라우저 비밀번호 자동저장 비활성화 ▲PC 미사용 시 전원 차단 등 기본 보안 수칙을 철저히 지킬 것을 당부했다. 또한 디지털 기기 제조사 차원의 다중 인증 체계 강화도 필요하다고 강조했다.
한편 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며, 사용된 악성코드의 구조가 과거 북한 해킹 조직이 사용한 것과 유사하다는 점을 확인했다고 밝혔다.