일러스트=챗GPT

<이미지를 클릭하시면 크게 보실 수 있습니다>

북한 배후 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 주요 데이터를 통째로 삭제하는 파괴적 수법의 사이버 공격을 단행한 정황이 포착됐다.

10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면 북한 배후 위협그룹 김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 지능형지속공격(APT) 그룹 ‘코니’가 개인 정보 탈취 수준을 넘어 한국 내 구글 안드로이드 기반 스마트폰·태블릿·PC 등을 원격으로 초기화해 기기에 저장된 개인 데이터를 무단 삭제한 사례가 처음으로 발견됐다.

지니언스가 이번 코니 APT 캠페인을 분석한 결과, 해커는 국내 한 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 다수 전송했다. 같은 달 15일 한 북한 인권 운동가의 안드로이드 스마트폰도 초기화되고 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 발생했다.

카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발(發) 해킹 공격으로 조사됐다.

보고서에 따르면 이번 사건에서는 전례 없는 공격 수법이 추가로 발견됐다. 해커는 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복해 구글을 포함한 국내 주요 정보기술(IT) 서비스 계정 정보를 탈취했다.

지니언스가 분석한 북한 연계 코니 APT 캠페인의 공격 흐름도 / 지니언스 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 뒤 구글 ‘내 기기 허브’(파인드 허브) 기능을 통해 스마트폰을 원격 초기화했다. 동시에 자택·사무실 등에 있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 ‘스트레스 해소 프로그램’ 등으로 위장한 악성코드를 유포했다.

지인 일부가 악성 파일임을 의심하고 전화나 메시지 등으로 진위를 물어도 해킹 피해자의 스마트폰이 푸시 알림·전화와 메시지 등이 차단된 ‘먹통’ 상황이어서 초기 대응이 늦어졌고, 추가 피해는 빠르게 확산됐다.

해커는 피해자들의 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다.

보고서는 해커가 피해자가 외부에 있음을 확인하는 데 PC 등에 탑재된 웹캠을 활용한 정황도 있다고 밝혔다. 악성코드에 웹캠, 마이크 제어 기능이 포함돼 있었는데, 감염된 웹캠을 통해 피해자 일거수일투족을 감시했을 가능성이 있다는 설명이다.

보고서는 “안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 했다.

지니언스는 해킹 피해를 최소화하기 위해 “구글 계정의 비밀번호를 정기적으로 변경하고, 2단계 인증(2FA) 등 추가 인증 수단을 적용해달라”고 조언했다. 또 “웹 브라우저 로그인 시 비밀번호 자동 저장을 지양하고, 외출 시에는 컴퓨터 전원을 종료하는 습관을 유지하고 물리적·원격 공격 가능성을 최소화해야 한다”고 덧붙였다.

이재은 기자(jaeeunlee@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>