“北 해커, 스마트폰 원격 조정해 데이터 삭제·악성코드 유포까지 했다”

정보보안기업 지니언스 시큐리티 센터 보고서
안드로이드 스마트폰·PC 원격 조정 및 악성코드 유포 첫 사례

(시사저널=김현지 기자)

경찰청 안보수사국 관계자가 지난 2023년 4얼 '보안인증 S/W 취약점 공격사건' 경찰 수사결과를 발표하고 있다. 기사 내용과 관련 없는 자료사진. ⓒ연합뉴스

북한 배후 해킹 조직이 안드로이드 스마트폰과 개인용 컴퓨터(PC)를 원격 조종해 주요 데이터를 삭제하는 방식으로 사이버 공격을 수행한 정황이 처음 발견됐다.

10일 정보보안기업 지니언스 시큐리티 센터(Genians Security Center, GSC)의 위협 분석 보고서에 따르면, 북한 배후로 의심되는 사이버 공격자는 이용자의 문서와 사진 등 주요 데이터를 삭제하고 악성 파일을 유포하는 등 피해를 일으킨 것으로 나타났다. 개인 정보 탈취를 넘어선 사이버 공격 정황이 발견된 건 이번이 처음이다.

이번 사례는 지난 9월 국내 한 심리 상담사와 북한 인권 운동가의 스마트폰 해킹 사건과 관련해 보고되면서 드러났다. 이들의 스마트폰이 해커 조직에 의해 초기화되면서 탈취됐고, 이 스마트폰을 통해 해킹 피해자의 지인들에게 악성 파일을 전송한 것으로 나타났다. 이와 관련해 GSC는 북한 해킹 조직의 전례 없는 공격 수법이 발견됐다고 전했다.

구체적으로 해커는 피해자의 스마트폰, PC 등 기기에 침투한 뒤 장기간 잠복했다. 이때 미국에 기반을 둔 구글과 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취했다. 해커는 이후 스마트폰의 구글 위치 기반 조회를 거쳐 해킹 피해자가 외부에 있는 시점을 확인했다. 그런 다음 구글의 '내 기기 허브(파인드 허브)' 기능을 통해 스마트폰을 원격 초기화했다.

해커는 탈취한 스마트폰 등을 통해 추가 피해를 일으켰다. 악성코드에 감염된 기기에서 해킹 피해자의 지인들에게 '스트레스 해소 프로그램' 등으로 위장한 악성코드를 유포한 것이다. 지인 일부는 악성 파일임을 의심해 피해자에게 진위를 물었다. 그러나 피해자의 스마트폰은 이미 해킹된 상황이었기 때문에 초기 대응이 늦어졌고 피해가 커졌다. 해커는 피해자들의 스마트폰와 PC 등에서 문서, 사진, 연락처 등 주요 데이터를 삭제하기도 했다.

GSC는 보고서에서 "데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발(發) 해킹 공격에서 전례가 없었다"며 "북한의 사이버 공격 전술이 사람들의 일상을 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다"고 했다. 로그인 2단계 인증 적용 등의 방식으로 피해를 최소화해야 한다고 조언했다. 또 브라우저 비밀번호 자동 저장도 삼가야 한다고 했다.

경기남부경찰청 안보사이버수사대는 앞서 북한 인권 운동가의 해킹 사례를 수사 중인 가운데 범행에 이용된 악성코드 구조가 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다고 밝혔다.