“北배후 해커, 개인 폰 원격조종-카톡 공격”

피싱 메일 보내 스마트폰 초기화
정보 탈취 넘어 직접 조종은 처음

북한이 배후로 의심되는 해킹 조직이 개인의 스마트폰을 먹통으로 만들고 카카오톡 계정을 통해 위장 악성코드를 배포하는 등 사이버 공격을 감행한 정황이 발견됐다. 해커가 개인정보를 빼가는 것을 넘어 합법적인 서비스를 활용해 스마트폰을 원격 초기화하고 데이터를 삭제하는 등 직접 피해를 일으킨 사례가 보고된 건 처음이다.

10일 사이버 보안 기업 ‘지니언스’는 “김수키 또는 APT37과 연계된 것으로 알려진 ‘코니’의 새로운 공격 정황을 파악했다”며 보고서를 공개했다.

보고서에 따르면 초기 침투는 국세청을 사칭한 피싱 메일 등으로 이뤄졌다. 그렇게 해당 PC에 침투한 뒤 해커는 구글의 도난·분실 기기 관리 기능인 ‘파인드 허브(Find Hub)’를 활용해 피해자의 스마트폰을 원격으로 초기화했다. 또 동시에 피해자의 카카오톡 계정으로 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성코드를 보낸 것으로 파악됐다. 해커는 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다. 공격 대상은 북한 인권 운동가와 탈북민 심리상담가 등이었다.

염흥열 순천향대 정보보호학과 교수는 “공격 목표가 국가나 기업 등의 민감 정보에 접근할 수 있는 사람이라면 더욱 위험할 수 있다”고 말했다.

北해커, 정보탈취 넘어 폰 조종… 먹통 만들고 악성파일 뿌려

탈북민 상담사 카톡 계정 탈취해… ‘스트레스 해소’ 등 악성파일 전송
폰 초기화 시켜 해킹 확인 방해… 특정 민간인 타깃 2차 공격 시도
“비번 자주 바꾸고 2차인증 설정을”

크게보기

‘탈세 제보 신고에 따른 소명자료 제출 요청 안내.zip’.

북한이 배후로 추정되는 해킹그룹 ‘코니’는 국세청을 사칭한 메일을 보내 피해자들에게 접근한 것으로 파악됐다. 코니는 피해자가 악성파일이 첨부된 사칭 메일에 의심을 가지지 않도록 만들기 위해 “다른 사람에게 갔어야 할 메일이 잘못 발송됐다”며 안내 메일을 보내는 주도면밀함을 보이기도 했다.

● 스마트폰 먹통 만들어 피해자 소통 차단

10일 사이버 보안 기업 ‘지니언스’는 코니의 구체적인 해킹 수법을 추적해 공개했다. 지니언스에 따르면 국세청 사칭 스피어피싱(특정인을 목표로 개인정보를 훔치는 피싱)으로 피해자의 PC에 잠입한 해커는 오랜 시간 잠복하며 시스템을 감시하고 정보를 수집했다.

그렇게 피해자의 구글 계정을 탈취한 뒤 ‘파인드 허브(Find Hub)’ 기능으로 피해자의 스마트폰 위치정보를 추적했다. 구글 파인드 허브 기능을 이용하면 실시간으로 같은 계정이 로그인된 스마트폰의 위치를 추적할 수 있고, 원격으로 스마트폰을 초기화시킬 수도 있기 때문. 당초 스마트폰을 도난당하거나 분실했을 때 활용하도록 고안된 기능이지만 이를 악용한 것이다. 해커는 피해자가 자택이나 사무실이 아닌 외부에 있을 때 피해자의 스마트폰을 원격으로 초기화시켰다. 이와 동시에 PC 버전 카카오톡을 이용해 피해자의 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성코드를 유포했다.

만약 지인이 해킹을 의심해 피해자에게 전화나 문자메시지로 파일의 진위를 묻더라도 이미 피해자의 스마트폰은 초기화 절차에 돌입해 ‘먹통’이 된 이후라 소통이 불가능했다. 해커는 피해자의 휴대전화 복구를 늦추기 위해 원격 초기화를 여러 차례 반복 실행하기도 했다.

● 특정 개인·집단 타깃 ‘맞춤 공격’

코니의 표적이 된 피해자들은 북한 인권운동가나 탈북 청소년을 전문으로 상담하는 심리상담사 등이었다. 실제로 심리상담사의 카카오톡 계정을 탈취한 해커가 탈북 청소년에게 스트레스 해소 프로그램을 위장한 악성파일을 전송한 사례도 확인된 것으로 알려졌다. 지니언스는 “신뢰 기반 커뮤니케이션을 활용해 표적을 정밀 공략한 공격으로 평가된다”며 “특히 메신저 플랫폼 계정을 탈취하고 이를 악용한 것은 공격의 맞춤화 수준을 높이고 전파 범위를 확장시켰다”고 분석했다. 과거 북한발 사이버 공격이 공공기관과 기업의 데이터를 빼내는 것이 주를 이뤘다면 이번에는 민간인을 표적으로 삼아, 2차 감염 확산을 노렸다는 것.

정보보안 업계 또한 코니의 해킹 사례가 기존 유형과 다르다는 점에 주목하고 있다. 정보보안 기업 관계자는 “이번 해킹은 지능형 지속 공격(APT·특정 국가, 기관을 장기간에 걸쳐 해킹하는 행위) 그룹이 합법적인 클라우드 기능을 파괴 행위에 활용한 첫 사례”라고 했다.

전문가들은 이 같은 해킹 피해를 막기 위해 계정 비밀번호를 정기적으로 변경하고 2차 인증 수단을 설정하고, 외출 시에는 컴퓨터 전원을 차단하는 등 보안 강화가 필요하다고 강조한다.

한편 경찰은 이 같은 방식의 해킹 피해를 본 북한 인권운동가의 신고를 접수하고 수사를 진행 중이다. 이날 경찰에 따르면 경기남부경찰청 안보사이버수사대는 9월 “해킹 피해를 당했다”는 북한 인권운동가 김모 씨(39)의 신고를 접수하고 수사를 진행하고 있다.

경찰 조사 결과 김 씨의 카카오톡 계정이 외부에서 무단 접속돼 지인 36명에게 악성코드가 담긴 파일이 전송된 것으로 확인됐다. 경찰은 이 악성코드의 구조와 전파 방식이 과거 북한 해킹 조직이 사용하던 수법과 유사하다고 보고 있다.

다만 파일을 받은 지인 모두가 이를 내려받지 않아 2차 피해는 발생하지 않았다고 한다. 경찰 관계자는 “현재 추가 피해자는 확인되지 않았으며, 자체 분석과 함께 외부 전문기관에도 의뢰한 상태”라며 “최종 분석 결과가 나오면 수사에 속도를 낼 계획”이라고 밝혔다.