IT 보안사고 (PG) [힐링경제=윤현철 기자]
북한 배후 해킹 조직의 사이버 공격이 단순한 정보 탈취를 넘어 피해자의 일상을 직접 파괴하는 수준으로 고도화된 것으로 나타났다.
안드로이드 스마트폰과 PC를 원격으로 조종해 기기를 초기화하고 주요 데이터를 삭제하는 전례 없는 파괴적 공격 수법이 국내에서 처음 발견됐다.
10일 정보보안기업 지니언스 시큐리티 센터가 발표한 위협 분석 보고서에 따르면, 북한 배후로 추정되는 사이버 공격자가 개인 정보 탈취 수준을 넘어 스마트폰, 태블릿, PC 등 디지털 기기를 직접 무력화시키고 데이터를 삭제하는 방식으로 현실 세계에 직접적인 피해를 입힌 사례가 확인됐다.
보고서가 공개한 첫 번째 사례는 지난 9월 5일 발생했다. 해커는 국내 한 심리 상담사의 스마트폰을 원격으로 초기화한 뒤 탈취한 카카오톡 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 지인 다수에게 전송했다.
10일 뒤인 9월 15일에는 한 북한 인권 운동가의 안드로이드 스마트폰이 같은 방식으로 초기화됐다. 이 사건에서는 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 더욱 조직적인 공격 양상이 나타났다. 카카오톡 메시지를 통한 악성코드 유포는 신뢰 관계를 악용한 전형적인 사회공학 기반 북한발 해킹 공격의 특징이다.
그러나 이번 사건에서 발견된 가장 우려스러운 점은 공격 방식의 정교함이다. 해커는 피해자의 스마트폰과 PC에 먼저 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보를 조용히 탈취했다. 이후 스마트폰의 구글 위치 기반 조회 기능을 활용해 피해자가 자택이나 사무실이 아닌 외부에 있는 시점을 정확히 파악했다.
피해자가 외출한 것을 확인한 해커는 구글의 '내 기기 허브(파인드 허브)' 기능을 악용해 스마트폰을 원격으로 초기화했다. 동시에 자택이나 사무실에 남아있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 악성코드를 유포하는 치밀한 계획을 실행했다.
더욱 교묘한 것은 피해 확산 방지를 차단하는 수법이었다. 지인들 일부가 악성 파일임을 의심하고 전화나 메시지로 진위를 확인하려 해도, 해킹 피해자의 스마트폰은 이미 초기화돼 푸시 알림, 전화, 메시지가 모두 차단된 '먹통' 상태였기 때문에 초기 대응이 늦어질 수밖에 없었다. 이러한 시간 차를 이용해 악성코드는 빠르게 확산됐다.
해커는 피해자들의 스마트폰, 태블릿, PC에 저장된 사진, 문서, 연락처 등 주요 데이터를 삭제하기도 했다. 단순한 정보 탈취를 넘어 디지털 자산을 완전히 파괴하는 방식으로 공격의 수위를 높인 것이다.
보고서는 해커가 피해자의 외출 여부를 확인하는 데 PC에 탑재된 웹캠을 활용했을 가능성도 제기했다. 악성코드에 웹캠과 마이크 제어 기능이 포함돼 있었으며, 감염된 웹캠을 통해 피해자의 일거수일투족을 감시했을 수 있다는 것이다.
지니언스는 "안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다"며 "북한의 사이버 공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다"고 우려를 표명했다.
경기남부경찰청 안보사이버수사대는 북한 인권 운동가의 해킹 사례를 수사 중이다. 경찰은 범행에 이용된 악성코드의 구조와 제작 방식이 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다고 밝혔다. 특히 APT(지능형 지속 공격) 조직으로 알려진 김수키(Kimsuky) 등 북한의 주요 해킹 그룹들이 사용하는 사회공학 기법과 일치하는 부분이 많다는 분석이다.
북한은 6800여 명에 달하는 사이버 공격 인력을 보유하고 있으며, 정부 기관, 언론, 싱크탱크, 학계, 금융, 기술 분야 등을 겨냥한 고도화된 사이버 공격을 지속적으로 수행해왔다. 이번 사건은 북한의 사이버 위협이 정보 수집 차원을 넘어 물리적 피해를 일으키는 새로운 단계로 진입했음을 보여준다.
지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 반드시 적용하고, 브라우저의 비밀번호 자동 저장 기능 사용을 자제할 것을 권고했다. 또한 PC 미사용 시 전원을 완전히 차단하는 등 사용자 차원의 보안 수칙 준수와 더불어, 디지털 기기 제조사 차원에서 다중 인증 체계를 강화해야 한다고 강조했다.
보안 전문가들은 이번 사건을 계기로 개인 사용자의 보안 의식 제고와 함께 국가 차원의 사이버 보안 대응 체계 강화가 시급하다고 입을 모으고 있다. 특히 구글과 같은 글로벌 IT 기업들의 원격 관리 기능이 악용될 수 있다는 점에서 보안 취약점 보완이 필요하다는 지적이 나온다.
[힐링경제=김재현 기자]