메뉴 보기
북한 배후 해킹 조직이 안드로이드 운영체제(OS) 스마트폰과 PC를 원격 조종한 뒤 사회관계망서비스(SNS) 계정을 탈취해 악성 파일을 유포하는 사이버 공격을 한 정황이 포착됐다. 이들은 스마트 기기 데이터를 삭제해 해킹 사실을 은폐하기도 했다. 북한 배후 해킹 조직이 기기 무력화와 SNS 계정 해킹을 결합해 공격한 사례가 발견된 건 이번이 처음이다.
정보보안기업 지니언스 시큐리티 센터는 10일 위협 분석 보고서를 통해 안드로이드 기기를 대상으로 한 원격 해킹 기술과 피해 사례를 공개했다. 이번 사이버 공격 배후로 지목된 ‘코니(Konni)’는 지능형지속공격(APT) 조직으로 북한 정찰총국 산하 해킹조직인 ‘김수키’와 ‘APT37’ 등과 연계된 것으로 알려졌다. 지니언스 시큐리티 센터는 앞서 국세청을 사칭한 악성 파일 공격에 노출된 일부 피해자 기기를 디지털 포렌식해 분석했다.
보고서에 따르면 해킹 조직은 지난 9월 국내 탈북 청소년 전문 심리 상담사와 북한 인권운동가 스마트폰을 원격 초기화하고, 이들의 카카오톡 계정을 탈취해 지인들에게 ‘스트레스 해소 프로그램’ 등으로 위장한 악성 파일을 전송했다. 피해자들은 국세청을 사칭한 이메일을 받고 악성 코드가 파일을 내려받으면서 해킹에 최초 노출된 것으로 파악됐다.
해커는 스마트 기기에 침투한 뒤 피해자 개인정보를 확보해 구글과 네이버 등 정보기술(IT) 서비스 계정을 탈취했다. 이후 구글 위치 기반 서비스 ‘내 기기 허브(Find Hub)’를 악용해 피해자 부재 시점을 노려 스마트 기기를 원격 초기화했다. 내 기기 허브는 도난·분실된 안드로이드 기기를 보호하기 위한 서비스다. 해커는 구글이 발송한 보안 경고 메일과 휴지통 기록을 모두 없애 해킹 사실을 은폐하기도 했다.
해커는 피해자 자택과 사무실 등에 있는 PC나 태블릿을 통해 지인들에게 악성파일을 유포했다. 일부 지인이 해킹을 의심해 피해자에게 연락했지만 피해자 스마트폰의 알림·전화·메시지 등이 차단돼 초기 대응이 늦어졌다고 한다. 해커는 피해자 스마트 기기에 있는 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다. 보고서는 해커가 피해자가 밖에 나갔는지를 확인하기 위해 ‘웹캠’으로 피해자 일상을 감시한 정황도 드러났다고 밝혔다.
보고서는 “안드로이드 스마트 기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버 공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 했다.
지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 적용하고, 브라우저 비밀번호 자동 저장을 삼가야 한다고 강조했다. PC를 사용하지 않을 땐 전원을 차단하는 등 사용자 보안 수칙과 함께 디지털 제조사의 다중 인증 체계 강화가 요구된다고도 했다.
앞서 경기남부경찰청 안보사이버수사대는 북한 인권운동가가 신고한 해킹 사례를 수사 중이라고 밝혔다. 경찰 수사 과정에서 범행에 이용된 악성 코드 구조가 북한 해킹 조직이 주로 사용한 것과 유사하다는 점이 확인됐다. 경찰은 북한 해킹 조직이 북한 관련 활동을 하는 인물에 대한 정보를 탈취하기 위해 PC를 해킹하고 카카오톡에 접속한 것으로 보고 있다.
