북한 해커로 보이는 해커 집단이 국내 이용자의 구글 계정을 탈취한 후, 스마트폰과 태플릿PC를 원격 조정해 사진과 문서, 연락처 등을 삭제하고 도감청, 악성코드 배포까지 실행한 사이버 공격 사례가 나왔다. 이는 국내에서 처음 발견된 수법으로, 해커들의 사이버 공격이 점차 고도화되고 있음을 시사한다.
10일 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면, 한국의 구글 안드로이드 기반 스마트폰과 태블릿 PC가 원격으로 초기화돼 기기에 저장된 개인 데이터가 무단 삭제되는 피해가 발생했다. 또한 해커들은 원격으로 피해자의 PC를 감시하고 카카오톡 PC 버전을 통해 피해자 지인들에게 악성파일을 배포했다. 일부 지인들이 악성 파일임을 의심해 진위 여부를 물어도 서로 소통하지 못하도록 피해자의 스마트폰을 초기화해 먹통으로 만들었다.
이처럼 원격 제어 권한을 확보하고, 기기 위치 추적과 원격 초기화까지 수행한 것은 이번이 처음이다. 보고서는 "사회적 신뢰 기반 서비스를 전략적으로 활용해 공격 효과를 극대화한 사이버 공격"이라면서 "공격의 전술적 정교함과 은닉 전략의 고도화를 보여주는 사례"라고 평가했다.
해커들은 국세청 등을 사칭한 스피어 피싱(특정인의 정보를 캐내기 위한 사이버 공격)을 통해 특정인의 단말기에 침투한 뒤 장기간 내부 정찰과 정보 수집을 진행했다. 피해자 시스템에서는 이러한 메일을 통해 내려받은 것으로 추정되는 여러 파일들이 발견됐다. 이렇게 피해자 기기에 침투한 해커는 1년간 PC에서 잠복하면서 구글·네이버 등 로그인 정보와 비밀번호 등 민감 정보를 확보했다.
특히 기기 위치 추적은 물론, PC 웹캠을 통해 피해자를 원격 감시한 정황도 포착됐다. 구글의 '내 기기 허브(Find Hub)' 기능을 통해 피해자가 외부에 있음을 확인하고, 피해자의 단말기를 원격으로 초기화했다. 또한 피해자 기기에 심어진 악성코드를 분석한 결과 웹캠과 마이크 제어 기능이 포함돼 있었다. 악성코드에 감염된 웹캠을 통해 피해자의 동선을 원격으로 감시했을 가능성도 있다.
이번 공격은 북한 배후 해킹 조직일 가능성에 무게가 실린다. 보고서에 따르면, 해당 공격은 북한 배후 해킹 조직인 김수키 또는 APT37 그룹과 연계된 것으로 알려진 '코니 APT 캠페인'의 새로운 공격이라고 분석했다. 더욱이 카카오톡 메시지를 통한 악성코드 유포는 신뢰 기반 커뮤니케이션을 활용해 표적의 심리·사회적 맥락을 정밀히 공략한 전형적인 사회공학 공격으로 평가된다. 이는 주로 북한발 해킹 공격에서 발견되는 수법이다.
최근 특정 타깃을 목표로 한 북한발 해킹이 점점 고도화되면서 각별한 주의가 요구된다. 경찰청과 국가인권위원회를 사칭한 스피어 피싱이 발견됐는데, 해당 메일에 북한식 표현이 다수 발견되면서 북한 배후 조직일 가능성이 제기됐다. 공무원 업무시스템 '온나라 시스템' 등 정부 내부 전산망에 해커가 접근한 정황이 확인됐는데, 해킹 배후로 북한 해커조직 '김수키'가 유력하게 거론되고 있다.
보안업계 전문가는 "이번 공격은 기술적으로 어려운 것이 아니라, 현재 기술로도 충분히 수행할 수 있는 방식의 사이버 공격"이라면서 "인공지능(AI) 기술이 발전하면서 해킹 수법도 점차 고도화되고 있는 만큼, 계정 2단계 인증과 비밀번호 주기적 변경 등 일상생활 속에서 보안 조치를 강화할 필요가 있다"고 밝혔다.
박진영 기자sunlight@ajunews.com
기자의 다른기사
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
