|
10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면 북한 배후가 유력한 사이버 공격자가 단순한 개인정보 유출 수준을 넘어 현실 세계의 피해를 동반한 '직접적 파괴형 해킹' 사례를 일으킨 사례가 처음 일어났다.
보고서에 따르면 지난 9월 5일 해커는 국내 한 심리상담사의 스마트폰을 원격으로 초기화하고, 탈취한 카카오톡 계정을 이용해 스트레스 해소 프로그램으로 위장한 악성 파일을 지인들에게 다수 전송했다. 열흘 뒤인 15일에는 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화됐으며 탈취된 계정을 통해 악성 파일이 36명에게 동시다발적으로 퍼졌다.
이러한 공격은 신뢰 관계를 악용하는 사회공학적 기법으로, 그간 북한 해킹 조직이 즐겨 사용해온 수법이다.
하지만 이번에는 그보다 한층 진화한 전례 없는 공격 방식이 추가로 발견됐다.
해커는 피해자의 스마트폰과 PC 등에 침투해 장기간 잠복하면서 구글과 주요 IT 서비스 계정 정보를 탈취했다. 이후 구글 내 기기 찾기 기능을 악용, 피해자가 자택이나 사무실 밖에 있는 시점을 파악한 뒤 스마트폰을 원격으로 초기화했다. 동시에 감염된 PC나 태블릿을 이용해 지인들에게 악성 파일을 재차 유포했다.
문제는 피해자 스마트폰이 초기화 과정에서 푸시 알림과 통신 기능이 모두 차단돼 먹통 상태가 되면서, 지인들의 의심 연락에 즉각 대응하지 못해 피해 확산을 막기 어려웠다는 점이다.
해커는 피해자의 스마트폰에 저장된 사진, 문서, 연락처 등 주요 데이터를 삭제하기도 했다. 보고서에는 감염된 기기의 웹캠과 마이크 제어 기능을 통해 피해자의 일상 행동을 감시했을 가능성도 제기됐다.
보고서는 "안드로이드 데이터 삭제, 계정 기반 공격 등 여러 수법을 결합한 이번 사례는 전례가 없었다"며 "사이버공격이 점점 더 고도화되고 개인의 일상으로 침투하고 있다"고 우려했다.
지니언스는 피해 예방을 위해 △로그인 시 2단계 인증 적용 △비밀번호 자동저장 기능 비활성화 △PC 미사용 시 전원 완전 차단 등을 권고했다. 또한 기업과 제조사 차원에서 다중 인증 체계 강화가 필요하다고 강조했다.
앞서 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사하고 있으며 범행에 사용된 악성코드가 북한 해킹 조직이 기존에 사용해온 코드 구조와 유사한 것으로 확인했다고 밝혔다.
