북한 배후 해킹조직이 안드로이드 스마트폰과 PC를 원격 조종해 데이터를 삭제하고, 탈취한 카카오톡 계정으로 지인들에게 악성파일을 유포하는 전례 없는 사이버 공격을 벌인 정황이 포착됐다.

10일 정보보안기업 지니언스 시큐리티 센터가 공개한 위협 분석 보고서에 따르면, 이번 공격은 단순한 개인정보 탈취 수준을 넘어 현실 세계의 피해를 유발한 첫 사례로 확인됐다. 배후로는 북한 위협그룹 ‘김수키(Kimsuky)’ 또는 APT37과 연계된 지능형 지속 공격(APT) 조직 ‘코니(KONNI)’가 지목됐다.

피해는 지난 9월 탈북민 관련 단체 관계자들 사이에서 집중적으로 발생했다. 9월 5일 탈북 청소년 전문 심리상담사의 스마트폰이 초기화된 데 이어, 15일에는 북한 인권운동가의 스마트폰이 원격으로 초기화되고 탈취된 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’이란 이름으로 위장한 악성파일이 지인 30여 명에게 전송됐다. 피해자들은 자신이 보낸 적이 없는 메시지가 지인들에게 전달된 것을 뒤늦게 인지하고 경찰에 신고했다.

공격의 방식은 치밀했다. 해커들은 피해자의 구글 계정에 침투해 위치 정보를 통해 외출 중임을 확인한 뒤, 구글의 ‘내 기기 허브(Find My Device)’ 기능으로 스마트폰을 원격 초기화했다. 이후 이미 악성코드에 감염된 피해자의 PC나 태블릿을 활용해 카카오톡으로 지인들에게 동일한 악성파일을 뿌렸다. 피해자들은 기기가 초기화되면서 전화나 메시지 알림이 차단돼 즉각적인 대응을 할 수 없었고, 이로 인해 2차 피해가 빠르게 확산됐다.

또한 해커들이 피해자의 웹캠과 마이크를 장악해 외출 여부를 실시간으로 감시했을 가능성도 제기된다. 일부 피해자는 LED 표시등이 없는 웹캠을 사용해 영상 스트리밍이 진행돼도 이를 알아채지 못한 것으로 추정된다. 해커들은 구글 계정의 복구 이메일로 등록된 네이버 메일에 접속해 구글의 보안 경고 메일을 삭제하고 휴지통까지 비워 흔적을 완전히 지우는 등 ‘완벽범죄’를 꿈꿨다.

지니언스 보고서는 "안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다"며 "북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다"고 분석했다.

실제로 카카오톡과 같은 메신저를 이용한 공격은 신뢰 기반의 지인 관계를 악용하기 때문에 피해 확산 속도가 빠를 수 밖에 없다. 지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 적용하고 브라우저 비밀번호 자동 저장을 삼갈 것을 조언했다.

현재 경기남부경찰청 안보사이버수사대는 북한 인권운동가의 계정 탈취 사건을 수사 중이며, 악성코드의 구조가 북한 해킹조직이 사용해온 것과 유사하다고 밝혔다. 경찰은 공격 배후로 북한의 정보공작 조직이 개입했을 가능성에 무게를 두고 있다.

한편 국가정보원은 최근 통신·금융기관 해킹 사건 배후에도 북한 해커조직 ‘김수키’가 연루된 정황을 확인하고 추적을 강화하고 있다. 이들은 행정안전부, 국무조정실, 통일부 등 주요 국가기관을 대상으로도 침투를 시도한 것으로 알려졌다.