북한 배후로 추정되는 해킹 조직이 국내 이용자의 구글 계정을 탈취해 스마트폰·태블릿을 원격 조종하고 데이터를 삭제한 정황이 포착됐다. 해커들은 피해자의 PC에 침투해 카카오톡 PC 버전을 이용, 지인에게 악성코드를 유포하면서 동시에 피해자의 모바일 기기를 원격으로 초기화해 사진·문서 등 주요 데이터를 무단 삭제했다. 국가 배후 해커가 기기 위치 추적과 원격 초기화까지 감행한 사례는 이번이 처음이다.
10일 국내 보안기업 지니언스 시큐리티 센터(GSC)에 따르면 한국 내 안드로이드 기반 스마트폰과 태블릿 PC가 구글 ‘내 기기 허브(Find Hub)’ 기능을 통해 원격 초기화되며 기기 내 데이터가 삭제되는 피해가 발생했다. 이번 공격은 북한 해킹 조직 김수키 또는 APT37과 연계된 것으로 알려진 코니 APT 캠페인의 새로운 변종 공격으로 분석됐다.
해킹 조직은 우선 국세청 등을 사칭한 스피어 피싱(특정 대상 맞춤형 피싱) 이메일을 통해 피해자의 PC에 악성 파일을 내려받게 했다. 이메일에는 ‘탈세 제보 신고에 따른 소명 자료 제출 요청 안내.zip’ 등 실제 정부 문서처럼 위장된 파일이 포함돼 있었다. 감염된 PC 내부에서 해커들은 구글·네이버 등 주요 계정 로그인 정보와 민감한 개인정보를 수집한 뒤 장기간 잠복하며 공격 기회를 노렸다. 이후 해커들은 확보한 카카오톡 계정 정보를 이용해 악성 파일을 지인에게 전파했다.
올해 9월에는 탈북 청소년 전문 심리상담사의 카카오톡 계정이 탈취돼, 탈북민 학생 등 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성코드가 대량 전송됐다. 심리상담사는 “내가 보낸 적 없는 메시지가 발송됐다”며 해킹 피해를 의심, 경기남부경찰청에 신고한 상태다.
해커 조직은 피해자의 구글 계정을 장악한 뒤 구글의 도난·분실 기기 관리 서비스인 ‘내 기기 허브(Find Hub)’를 악용했다. 이들은 안드로이드 기기 등록 정보를 확인한 뒤 원격 초기화 명령을 3회 이상 반복 실행해 피해자의 복구 시도를 방해했다.
공격 시점은 피해자가 외부에 있을 때로 해커는 위치 조회 기능을 이용해 사용자의 부재를 파악한 뒤 원격 초기화를 감행했다. 그 결과 피해자의 스마트폰과 태블릿에 저장돼 있던 사진·문서·연락처 등 데이터가 전부 삭제됐다.
지니언스 보고서에 따르면 해커가 피해자의 PC 웹캠까지 제어했을 가능성도 있다. 보고서는 “국가 배후 위협 행위자가 웹캠을 악용해 사용자의 주변 환경을 감시하거나, 부재 시점을 파악해 추가 공격을 수행했을 가능성이 있다”고 지적했다. 특히 LED 표시등이 없는 웹캠의 경우 사용자가 촬영 사실을 인지하기 어려워, 사생활 침해로 이어질 위험이 높다고 분석했다.
지니언스는 “이번 공격은 계정 탈취·악성코드 유포·스마트기기 원격 초기화가 결합된 복합형 사이버공격으로, 북한발 해킹이 정보 탈취를 넘어 현실적 피해를 유발하는 단계로 진화하고 있음을 보여준다”고 평가했다. 보안 수칙으로는 △비밀번호 정기 변경, △2단계 인증(2FA) 활성화, △브라우저 비밀번호 자동 저장 금지 등을 권장했다. 또한 구글에는 ‘내 기기 허브’ 기능에 기기 소유자 재확인 및 실시간 보안 검증 절차 강화를 요청했다.
한편 경기남부경찰청 안보사이버수사대는 북한 인권 운동가 해킹 사건을 수사 중이며, 사용된 악성코드 구조가 기존 북한 해킹 조직의 공격 패턴과 유사하다고 밝혔다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
lia@sedaily.com
