北해킹 조직에 PC·스마트폰 뚫려
‘국세청입니다’ 위장한 피싱 메일로
악성파일 설치해 피해자 PC 침투
PC 카톡 로그인해 악성코드 유포
구글 기능 악용해 스마트폰 원격 초기화
피해자 외출때 공격···웹캠 해킹도 의심
‘국세청입니다’ 위장한 피싱 메일로
악성파일 설치해 피해자 PC 침투
PC 카톡 로그인해 악성코드 유포
구글 기능 악용해 스마트폰 원격 초기화
피해자 외출때 공격···웹캠 해킹도 의심
 |
지니언스가 분석한 북한 배후 해킹 조직 활동인 ‘코니’가 국내 안드로이드 단말을 탈취한 경로. 국세청 등을 사칭한 피싱 이메일을 통해 특정인 PC에 악성코드를 설치하게끔 유도한 뒤 침투한 후, 카카오톡 계정을 통해 악성코드 2차 유포를 진행했다. 동시에 ‘구글 파인드 허브’ 기능을 악용해 스마트폰 등 다른 안드로이드 기기는 초기화함으로써 데이터를 대거 삭제하고, 피해자가 대응하기 어렵도록 교란했다. [출처 = 지니언스] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
북한 배후로 추정되는 해커 집단이 국내 이용자의 구글 계정을 탈취해 스마트폰·태블릿까지 원격 제어한 사례가 나왔다. 해커들은 피해자의 PC에 침투해 카카오톡 PC 버전으로 피해자 지인에 악성코드를 유포하면서, 피해자의 스마트폰과 태블릿은 원격으로 초기화해 데이터를 무단 삭제했다.
국가 배후 해킹 조직이 이처럼 원격 제어 권한을 확보한 후 기기 위치 추적과 원격 초기화까지 감행한 공격은 이번이 처음이다.
국내 보안 기업 지니언스의 시큐리티 센터(GSC)는 10일 보고서를 통해 “한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화되어 기기에 저장된 데이터가 무단 삭제되는 피해가 발생했다”라고 언급했다.
지니언스에 따르면 해당 공격은 북한 배후 해킹 조직인 김수키 또는 APT37 그룹과 연계된 것으로 알려진 코니 APT 캠페인의 새로운 공격이다.
해킹 조직은 우선 국세청 등을 사칭한 스피어 피싱(특정인을 겨냥한 타깃형 피싱) 공격을 통해 악성 파일을 내려받도록 해 특정인의 단말에 침투했다. 피해자 시스템에서는 이러한 메일을 통해 내려받은 것으로 추정되는 ‘탈세 제보 신고에 따른 소명 자료 제출 요청 안내’ 등의 파일명이 확인됐다.
침투한 해킹 조직은 장기간 PC에서 잠복하면서 사용자 모니터링을 통해 구글·네이버 등 로그인 정보, 피해자의 민감 정보를 확보했다.
 |
카카오톡 계정 정보를 탈취한 공격자가 피해자의 카카오톡 계정을 통해 피해자의 카카오톡 친구를 대상으로 ‘스트레스 해소 프로그램’을 위장한 악성코드를 대량 유포했다. [출처 = 지니언스] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이러한 방식으로 해킹 조직은 지난 9월 5일 한국 내 탈북 청소년 전문 심리상담사의 카카오톡 계정까지 탈취해 카카오톡 연락처에 있는 탈북민 학생에게 ‘스트레스 해소 프로그램’으로 위장한 악성파일을 전송했다. 수신자는 해당 파일을 실행하면서 피해가 확산되어 9월 15일에는 또 다른 피해자 카카오톡 계정을 통해 악성파일 유포가 한 차례 더 이뤄졌다.
해당 심리상담사는 자신이 보낸 적 없는 메시지가 전송된 것을 확인한 후 해킹 피해를 의심해 경기남부경찰청에 신고를 접수한 상태다.
해커 조직은 악성파일 유포에 그치지 않고 피해자가 사용하는 안드로이드 기반 스마트폰과 태블릿까지 원격으로 공격했다. 이들은 구글 도난·분실 기기 관리를 위해 제공하는 기능인 ‘내 기기 허브(Find Hub)’를 악용했다.
‘내 기기 허브’에 등록된 안드로이드 기반 스마트폰과 태블릿을 대상으로 원격 초기화 명령을 실행함으로써 피해자 단말에 저장된 데이터를 삭제했으며, 한 차례 초기화 이후에도 동일한 명령을 3회 이상 반복하면서 피해자의 복구를 교란했다. 카카오톡 무단 유포도 이 시점에 진행함으로써 피해자는 즉각적인 대응을 하지 못한 것으로 파악된다.
또한 해커 조직은 위치 조회 기능까지 활용해 피해자가 외부에 있음을 확인한 뒤 이같은 원격 초기화를 실행한 것으로 나타났다.
피해자 PC의 웹캠까지 해킹됐을 가능성도 제기된다. 보고서는 “국가 배후 위협 행위자는 웹캠을 악용하여 사용자의 주변 환경을 은밀히 모니터링하거나, 사용자의 부재 시점을 파악해 추가 공격을 수행할 수 있다”라며 웹캠을 탈취한 사생활 감시까지 이어질 수 있다고 설명했다.
이같은 공격에 대비하기 위해 지니언스는 구글 계정 비밀번호를 정기적으로 변경하고, 2단계 인증과 같은 추가 인증 수단을 적용할 것을 권고했다.
또한 웹 브라우저 로그인 시에는 비밀번호 자동 저장을 지양해야 한다고 설명했다.
이어 지니언스는 기기 초기화 통로가 된 구글의 ‘내 기기 허브’ 기능에 대해서는 서비스 제공자인 구글이 기기 실소유자 재확인을 포함한 추가 인증 절차 등 실시간 보안 검증 조치를 검토·적용할 필요가 있다고 밝혔다.
한편 경기남부경찰청 안보사이버수사대는 북한 인권 운동가의 해킹 사례를 수사 중이며 범행에 이용된 악성코드 구조가 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다고 밝혔다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
