北해킹조직, 스마트폰 ‘먹통’ 만들고 카톡 지인들에 악성코드 뿌렸다

북한이 배후로 의심되는 해킹조직이 한국 피해자의 스마트폰을 먹통으로 만드는 동시에 피해자의 지인들에게 위장 악성코드를 보내는 등 사이버 공격을 감행한 정황이 처음 발견됐다.

10일 정보보안업체 지니언스 시큐리티 센터는 “김수키 또는 APT37그룹과 연계된 것으로 알려진 ‘코니’의 새로운 공격 정황을 파악했다”며 위협 분석 보고서를 공개했다. 코니는 공격 대상 등이 북한 해킹조직으로 알려진 김수키와 APT37과 겹치는 경우가 있어 일부 연구자들은 동일 조직의 활동으로 분류하기도 한다.

보고서에 따르면 9월 코니의 해커가 한국 피해자의 스마트폰을 원격으로 초기화하고 이와 동시에 피해자의 카카오톡 계정을 탈취해 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성 코드를 보낸것으로 파악됐다. 사이버 공격의 대상은 북한 인권 운동가와 탈북민 대상 심리상담사들이었다. 보고서는 “안드로이드 기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”고 우려했다.

해커는 국세청을 사칭한 피싱을 통해 특정인의 단말기에 침투, 장기간 잠복하며 피해자의 구글 계정을 탈취하는 등 정보를 수집한 것으로 파악됐다. 이어 구글 ‘파인드 허브(Find Hub)’ 기능을 이용해 피해자의 스마트폰 위치를 파악하고 자택이나 사무실을 비웠을 때를 노려 원격으로 스마트폰을 초기화했다. 파인드 허브를 이용하면 원격으로도 같은 구글 계정이 로그인된 단말기를 초기화할 수 있다. 스마트폰을 분실했을 때 사용하도록 고안한 기능이지만 이를 악용한 것이다.

해커는 피해자의 스마트폰을 초기화하는 동시에 피해자의 자택이나 사무실에 있는 PC로 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성코드를 유포했다. 만약 지인들 일부가 해킹을 의심해 피해자에게 전화나 문자메시지로 파일의 진위를 묻더라도, 피해자의 스마트폰은 이미 초기화 절차에 돌입해 먹통이 된 상태라 초기 대처가 늦어졌다. 해커는 휴대전화 복구 시간을 늦추기 위해 원격 초기화를 여러 차례 반복 실행하기도 했다.

염흥열 순천향대 정보보호학과 교수는 “지금까지 (북한 해커들의 공격 유형은) 서버에 대한 공격이었지만 이번에는 특정 개인의 단말기에 대한 공격을 감행한 것”이라며 “공격 목표가 국가나 기업 등의 민감 정보에 접근할 수 있는 사람이라면 더욱 위험할 수 있다”고 말했다. 전문가들은 이 같은 해킹 피해를 막기 위해 계정 비밀번호를 정기적으로 변경하고 2차 인증 수단을 설정, 외출 시에는 컴퓨터 전원을 차단하는 등 보안을 강화가 필요하다고 조언했다. 앞서 경기남부경찰청 안보사이버수사대는 북한 인권 운동가의 해킹 사례를 수사 중이며 범행에 이용된 악성코드 구조가 북한 해킹조직이 주로 사용해 온 것과 유사하다는 점을 확인했다고 밝힌 바 있다.

박종민 기자 blick@donga.com

© dongA.com All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지