북한 배후 해킹 조직이 사이버 공격을 감행한 정황이 처음 포착됐다. 사진은 카카오톡을 통한 악성파일 유포 사례들. /사진=지니언스 시큐리티 센터


북한 배후 해킹 조직이 개인 스마트폰과 PC를 원격 조종해 사진·문서·연락처 등 주요 데이터를 통째로 삭제하는 사이버 공격을 감행한 정황이 처음 포착됐다.


지난 10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면 북한 배후가 유력한 사이버 공격자가 개인 정보 탈취 수준을 넘어 현실 세계에서 직접 피해를 일으킨 사례가 최초로 발견됐다.

앞서 지난 9월5일 해커가 국내 한 탈북 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 지인들에게 다수 전송했다. 이어 같은 달 15일 한 북한 인권운동가의 안드로이드 스마트폰도 초기화되고 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 일어났다.


카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격으로 분석됐다. 피해자들은 국세청을 사칭한 이메일을 받고 '탈세 제보 신고에 따른 소명자료 제출 요청 안내.zip' 등 악성 코드가 포함된 파일을 내려받으면서 해킹에 최초 노출된 것으로 파악됐다.

이번 사건에서는 전례 없는 공격 수법이 추가로 발견되기도 했다. 해커가 피해자의 스마트폰, PC 등에 침투한 후 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취한 것이다. 해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 후 구글 '내 기기 허브'(파인드 허브) 기능을 통해 스마트폰을 원격 초기화했다.


보고서는 "안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다"며 "북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다"고 우려했다.

지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 적용하고 브라우저 비밀번호 자동 저장을 삼갈 것을 조언했다.