세계일보

북한 배후 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종, 주요 데이터를 통째로 삭제하는 수법의 사이버 공격을 수행한 정황이 처음 발견됐다. 경찰은 배후를 추적 중이다.

10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면 북한 배후가 유력한 사이버 공격자가 개인 정보 탈취 수준을 넘어 스마트폰·태블릿·PC 등 현실 세계에서 직접 피해를 일으킨 사례가 최초로 발견됐다.

지난 9월5일 해커가 국내 한 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 다수 전송했다. 같은 달 15일 한 북한 인권 운동가의 안드로이드 스마트폰도 초기화되고 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 있었다.

카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격으로 분석됐다. 그런데 이번 사건에서는 전례 없는 공격 수법이 추가로 발견됐다. 해커는 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복하며 구글과 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취했다.

해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 뒤 구글 ‘내 기기 허브’(파인드 허브) 기능을 통해 스마트폰을 원격 초기화했다. 자택·사무실 등에 있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 ‘스트레스 해소 프로그램’ 등으로 위장한 악성코드도 유포했다.

지인들 일부가 악성 파일임을 의심하고 전화나 메시지 등으로 진위를 물어도 해킹 피해자의 스마트폰이 푸시 알림·전화와 메시지 등이 차단된 상황이어서 초기 대응이 늦어져 추가 피해는 빠르게 확산했다. 해커는 피해자들의 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다.

보고서는 해커가 피해자가 외부에 있음을 확인하는 데 PC 등에 탑재된 웹캠을 활용한 정황도 있다고 전했다. 악성코드에 웹캠, 마이크 제어 기능이 포함돼 있었는데, 감염된 웹캠을 통해 피해자 일거수일투족을 감시했을 가능성이 있다.

보고서는 “안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 우려했다.

지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 적용하고 브라우저 비밀번호 자동 저장을 삼갈 것을 조언했다. PC 미사용 시 전원 차단 등 사용자 차원의 보안 수칙과 더불어 디지털 제조사 차원의 다중 인증 체계 강화가 요구된다고 강조했다.

앞서 경기남부경찰청 안보사이버수사대는 북한 인권 운동가가 신고한 해킹 사건에 대해 전반적으로 수사 중이다. A씨는 지난 9월15일 “내가 보낸 적 없는 메시지”라며 “내 계정으로 ‘스트레스 해소법이 담긴 파일이니 열어보라’는 카카오톡 메시지와 해당 파일을 지인 30여명에게 보낸 것으로 돼 있다”고 경찰에 신고했다. 실제 ‘언니’ ‘대표님’ ‘소장님’ 등 주어만 바꾼 뒤 똑같은 내용의 메시지를 보낸 것으로 전해졌다.

경찰은 북한 해킹 조직원이 국내에서 북한 관련한 활동을 벌이는 인물들의 정보를 탈취하기 위해 PC를 해킹하고 이 과정에서 A씨의 PC에 설치된 카카오톡에 접속한 것으로 보고 있다.

한편 최근 국정원은 안보를 위협하는 수준에 이른 통신·금융 해킹사태 배후에 북한 해커조직인 ‘김수키’가 있는 것으로 파악, 그 외의 적대 세력에 대한 추적도 함께 시행하고 있다. 이들 조직은 행정안전부 외에도 국무조정실, 통일부 등 다양한 국가기관에 대한 침투를 시도한 것으로 전해졌다. SKT 해킹 사태에 대해선 해외 정보기관과 공조해 자료 유출 관련 4곳을 특정한 데 더해 중국과 접촉한 사실도 확인해 조사를 이어가고 있다.

김수연 기자 sooya@segye.com 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지