[더파워 유연수 기자] 북한 배후 해킹조직이 안드로이드 스마트폰과 개인용 컴퓨터(PC)를 원격 조종해 사진·문서·연락처 등 주요 데이터를 통째로 삭제하는 파괴적 형태의 사이버 공격을 감행한 정황이 처음으로 확인됐다.
정보보안기업 지니언스 시큐리티 센터는 10일 발표한 위협 분석 보고서에서 북한과 연계된 해킹그룹이 개인 정보 탈취 수준을 넘어 실제 물리적 피해를 일으킨 사례를 발견했다고 밝혔다. 보고서에 따르면 해커는 지난 9월 국내 한 심리상담사의 스마트폰을 원격 초기화한 뒤, 탈취한 카카오톡 계정을 이용해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 전송했다.
이어 같은 달 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 초기화되고, 해커가 탈취한 카카오톡 계정을 통해 지인 36명에게 악성 파일이 동시다발적으로 유포되는 사건이 발생했다. 이는 신뢰관계를 가장한 사회공학적 수법으로, 기존 북한발(發) 해킹 공격보다 한 단계 진화한 형태로 분석됐다.
지니언스는 이번 공격에서 전례 없는 수법이 확인됐다고 밝혔다. 해커는 피해자의 스마트폰과 PC에 침투한 뒤 장기간 잠복하면서 구글 계정과 국내 주요 IT 서비스의 로그인 정보를 탈취했다. 이후 스마트폰의 위치 정보를 확인해 사용자가 자택이나 사무실을 벗어난 시점에 구글 ‘내 기기 허브(Find My Device)’ 기능을 이용해 스마트폰을 원격 초기화한 것으로 조사됐다. 동시에 감염된 PC·태블릿을 통해 악성코드를 유포하며 공격을 확산시켰다.
일부 피해자는 지인에게 직접 연락을 시도했지만, 스마트폰이 푸시 알림과 통화, 메시지가 모두 차단된 ‘먹통’ 상태여서 초기 대응이 늦어졌고, 피해 범위가 빠르게 확산됐다. 해커는 피해자의 단말기에 저장된 주요 데이터를 삭제했으며, 웹캠과 마이크 제어 기능을 활용해 피해자를 감시했을 가능성도 제기됐다.
지니언스 보고서는 “안드로이드 기기 초기화와 계정 탈취, 악성코드 전파가 결합된 공격은 기존 북한 해킹 조직의 전술을 넘어 일상 영역까지 침투한 실질적 파괴 단계로 진화한 것”이라며 “사이버 공격의 수위가 점점 높아지고 있다”고 평가했다.
전문가들은 피해를 막기 위해 구글 계정 비밀번호를 주기적으로 변경하고, 2단계 인증을 반드시 적용할 것을 권고했다. 또한 웹브라우저의 비밀번호 자동 저장을 피하고, PC 사용 후에는 전원을 차단하는 등 기본적인 보안 수칙을 준수해야 한다고 조언했다.
한편 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며, 사용된 악성코드가 북한 해킹 조직이 주로 활용해온 구조와 유사하다는 점을 확인했다고 밝혔다.
유연수 더파워 기자 news@thepowernews.co.kr
