[서울이코노미뉴스 박희만 기자] 북한 배후 해킹조직이 안드로이드 스마트폰과 PC를 원격조종해 사진과 문서, 연락처 등 주요데이터를 삭제·파괴하는 방식으로 사이버 공격을 감행한 정황이 처음 확인됐다.
10일 정보보안기업 지니언스 시큐리티센터가 공개한 위협분석 보고서에 따르면, 북한 연계로 추정되는 해커조직이 단순한 개인정보 탈취를 넘어 스마트폰·태블릿·PC 등 현실세계의 기기를 직접 파괴하는 공격을 수행한 사례가 발견됐다.
보고서에 따르면 지난 9월5일 해커는 국내 한 심리상담사의 스마트폰을 원격으로 초기화한 뒤 탈취한 카카오톡 계정을 이용해 ‘스트레스 해소 프로그램’으로 위장한 악성파일을 지인들에게 대량 전송했다.
같은 달 15일에는 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화됐으며, 이 계정에서도 악성파일이 지인 36명에게 동시다발적으로 유포됐다.
이같은 공격은 신뢰관계를 악용한 사회공학적 수법의 전형적인 북한발 해킹으로 분석된다.
그러나 이번 사건에서는 기존 공격과 달리 전례없는 파괴적 수법이 추가로 확인됐다. 해커는 피해자의 스마트폰과 PC 등에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 IT 서비스의 계정정보를 탈취했다.
이후 구글의 ‘내 기기 허브’ 기능을 이용해 피해자가 자택이나 사무실이 아닌 외부에 있을 때 스마트폰을 원격 초기화했다. 동시에 자택이나 사무실에 남아있는 감염된 PC·태블릿을 활용해 지인들에게 악성 파일을 추가로 유포했다.
특히 피해자의 스마트폰이 초기화되면서 푸시 알림, 전화, 메시지 기능이 모두 차단돼 연락이 불가능한 ‘먹통’ 상태가 되자, 지인들이 악성파일 여부를 확인할 수 없어 피해 확산이 빠르게 진행됐다.
또한 해커는 피해자의 스마트폰·태블릿·PC에 저장된 사진, 문서, 연락처 등 주요데이터를 삭제한 것으로 드러났다. 일부 사례에서는 감염된 PC의 웹캠과 마이크 제어기능을 통해 피해자의 위치나 활동을 감시했을 가능성도 제기됐다.
지니언스는 “안드로이드 기기 데이터 삭제, 계정 탈취, 악성코드 확산 등 복합적 공격을 결합한 이번 사례는 북한발 사이버 공격에서 처음 확인된 유형”이라며 “북한의 사이버전술이 개인의 일상영역을 직접 침해하는 실질적 파괴단계로 진화하고 있다”고 분석했다.
회사측은 해킹 피해를 최소화하기 위해 로그인 2단계 인증 적용, 브라우저 비밀번호 자동저장 금지, PC 미사용시 전원 차단 등 기본 보안수칙을 준수할 것을 권고했다.
또한 디지털기기 제조사 차원에서도 다중 인증체계 강화가 필요하다고 강조했다.
한편 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹사건을 수사 중이며, 범행에 이용된 악성코드의 구조가 북한 해킹조직이 사용해온 것과 유사하다는 점을 확인했다고 밝혔다.