더 똑똑해진 북한발 해킹…스마트폰·PC·카톡 장악해 원격 조종

[디지털데일리 김보민기자] 북한 배후 해킹조직이 안드로이드 스마트폰과 PC를 원격 조정해 주요 데이터를 삭제한 정황이 드러났다. 카카오톡 계정을 탈취해 사용자 지인에게 악성파일을 동시다발적으로 유포한 흔적도 발견돼, 전방위적인 주의가 필요하다.

10일 지니언스시큐리티센터(GSC) 위협 분석 보고서에 따르면, 북한 배후로 추정되는 사이버 공격자는 카카오톡 메신저를 통해 '스트레스 해소 프로그램'으로 위장한 악성파일을 대량 유포했다.

GSC는 이번 공격이 북한 김수키 또는 APT37 그룹과 연계된 것으로 알려진 '코니(Konni) APT' 캠페인의 일환이라고 분석했다. 또한 최근 코니 캠페인에서 한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화돼 기기에 저장된 개인 데이터가 복수 사례에서 무단 삭제되는 피해가 발생한 점을 주목했다.

공격자는 피해자 스마트폰, PC 등에 침투한 뒤 장기간 잠복해 구글 및 국내 정보기술(IT) 서비스 계정 정보를 탈취한 것으로 나타났다.

공격에 악용된 서비스는 구글 '내 기기 허브'였다. 해당 서비스는 도난 및 분실된 안드로이드 기기를 보호하기 위해 제공되는데, 국가 배후 공격자는 탈취한 구글 계정을 통해 원격 제어 권한을 확보한 후 기기 위치 추적 및 원격 초기화를 수행한 것으로 나타났다. GSC는 "최초 사례"라며 "해당 기능이 APT 캠페인에서 악용될 수 있는 현실적 위험으로 평가된다"고 말했다.

GSC는 해커가 피해자가 외부에 있다는 점을 확인하기 위해 PC 등에 탑재된 웹캠을 활용한 정황도 있다고 부연했다. GSC는 "웹캠에 마이크가 내장된 경우 영상뿐 아니라 음성까지 수집 가능해 프라이버시 침해 범위가 확대된다"며 "동작표시등(LEC)이 없는 웹캠은 영상 스트림 활성화를 사용자가 인지하기 어려워 탐지가 까다롭고, 이에 따라 보안 위험이 증가한다"고 경고했다.

GSC는 계정 보안을 강화하고 '내 기기 허브' 서비스가 보안 정책을 강화할 필요가 있다고 제언했다. 아울러 메신저 플랫폼을 통해 전달되는 파일 보안성 검증을 강화하고, 주의 안내 메시지를 통해 이용자가 악성파일 다운로드 및 실행 위험을 사전에 예방하도록 경각심을 강화해야 한다고 강조했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -