北 해킹조직, 스마트폰 원격 초기화로 탈북민 사이버 공격

탈북민 상담사·인권운동가 등 카톡 계정 탈취 후 악성코드 유포
구글 ‘내 기기 허브’ 기능 악용, 스마트폰 원격 초기화·데이터 삭제
웹캠·마이크 제어로 사생활 감시까지...솔루션 탐지 회피 전략 고도화

올해 9월 5일 해커가 국내 탈북 청소년 전문 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다.

같은 달 15일에는 한 북한 인권 운동가의 안드로이드 스마트폰도 초기화되고 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 일어났다.

10일 보안기업 지니언스 시큐리티센터는 북한 배후가 유력한 사이버 공격자가 개인정보 탈취 수준을 넘어 스마트폰·태블릿·PC 등 현실 세계에서 직접 피해를 일으킨 사례가 최초로 발견됐다는 내용의 위협분석보고서를 발표했다.

북한 배후 해킹조직이 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 주요 데이터를 통째로 삭제하는 파괴적 수법의 사이버 공격을 수행한 정황이 처음 발견됐다. 카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격으로 분석됐다.

피해자들은 국세청을 사칭한 이메일을 받고 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 등 악성코드가 포함된 압축파일을 내려받으면서 해킹에 최초 노출된 것으로 파악됐다. 하지만, 이번 사건에서는 전례 없는 공격 수법이 추가로 발견됐다.

해커는 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취했다.

해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 뒤 구글 ‘내 기기 허브’(파인드 허브) 기능을 통해 스마트폰을 원격 초기화했다. 안드로이드 기반 스마트폰과 태블릿을 대상으로 원격 초기화 명령(디바이스 와이프 액션)을 실행한 것으로, 이 명령에 따라 기기에 저장된 주요 데이터가 모두 삭제되는 피해가 일어났다.

앞서 해커는 피해자의 구글 지메일에 로그인한 후 구글 계정 관리 페이지에 접속해 복구 이메일로 등록된 네이버 메일 주소를 확인했다. 이어 네이버 계정에 로그인한 뒤 구글이 등록된 이메일에 발송한 보안 경고 메일을 삭제하고 휴지통 기록까지 모두 지우는 등 활동 흔적까지 깨끗이 지웠다.

해커들은 피해자 스마트폰을 초기화하는 동시에 자택과 사무실 등에 있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 ‘스트레스 해소 프로그램’ 등으로 위장한 악성코드를 유포했다. 지인들 일부가 악성 파일임을 의심하고 전화나 메시지 등으로 진위를 물어도 해킹 피해자의 스마트폰이 푸시 알림·전화와 메시지 등이 차단된 '먹통' 상황이어서 초기 대응이 늦어져 추가 피해는 빠르게 확산했다.

해커는 피해자들의 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다. 또 해커는 EDR 등 보안시스템에 의한 행위 기반 이상행위 탐지가 없는 경우 피해자의 동선을 감시하기 위해 피해자의 PC 등에 내재된 웹캠을 활용해 사생활을 감시하기도 했다.

해커가 뿌린 악성코드에는 웹캠, 마이크 제어 기능이 포함되어 있고, 감염된 웹캠을 통해 피해자 일거수일투족을 감시했을 가능성도 있다고 분석했다. 특히 동작 표시등(LED)이 없는 웹캠을 쓴 피해자들은 영상 스트리밍이 활성화돼도 신속하게 인지하기 어려워 영상이 찍히고 있다는 사실을 알아채지 못했을 것으로 추정된다.

보고서는 “안드로이드 단말 무력화와 계정 기반 전파를 결합한 공격은 국가 배후 APT(Advanced Persistent Threat, 지능형 지속 위협) 공격 시나리오에서 전례가 없던 것”이라며 “이번 공격은 북한의 사이버 공격 전술이 한층 더 성숙해지고, 탐지 회피 전략의 고도화를 입증하고 있음을 보여준다”고 분석했다.

이번 APT 공격으로 다수의 단말기기에서 개인 식별정보 및 민감정보, 웹캠을 통한 사생활 정보가 대량 유출됐으며, 모바일 단말 내 저장된 데이터도 파괴됐다. 이를 넘어 위협행위자는 피해자의 메신저 계정 자격 증명 세션을 통해 불법 접속 후 해당 계정을 활용해 악성파일 유포 경로로 악용해 2차 확산 피해도 우려되고 있다.

지니언스는 계정 보안을 강화하기 위해 구글 계정의 비밀번호를 정기적으로 변경하고, 2단계 인증(2FA) 등 추가 인증 수단을 적용할 것을 조언했다. 또 웹 브라우저에 로그인할 때 비밀번호 자동 저장을 지양하고, 외출 등 컴퓨터를 사용하지 않을 때는 전원을 종료해 물리적·원격 공격 가능성을 줄여야 한다고 덧붙였다.

전체메뉴

IT