지니언스 시큐리티센터 "안드로이드 초기화·데이터 삭제 결합한 공격"

구글 ‘내 기기 허브’ 기능 악용 정황…웹캠·마이크 제어도 가능성

북한 배후로 추정되는 해킹 조직이 안드로이드 스마트폰과 PC를 원격으로 조작해 사진, 문서, 연락처 등 핵심 데이터를 통째로 삭제하는 '파괴형 사이버 공격'을 벌인 정황이 처음으로 확인됐다.

10일 정보보안기업 지니언스 시큐리티센터의 위협 분석 보고서에 따르면, 이번 공격은 단순한 개인정보 탈취 수준을 넘어 현실 세계에 직접 피해를 가한 첫 사례로 분석된다.

보고서에 따르면 지난 9월 5일, 해커는 국내 한 심리상담사의 스마트폰을 원격으로 초기화한 뒤 탈취한 카카오톡 계정을 이용해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 지인들에게 다수 전송했다. 열흘 뒤인 9월 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화됐으며, 해커가 장악한 카카오톡 계정을 통해 악성 파일이 동시에 퍼졌다.

이처럼 신뢰 관계를 악용한 카카오톡 기반 악성코드 유포는 북한 해킹 조직이 자주 쓰는 사회공학적 수법이지만, 이번에는 이전에 없던 공격 방식이 추가로 확인됐다.

해커는 피해자의 스마트폰과 PC 등에 침투해 장기간 잠복하면서 구글 계정과 주요 국내 IT 서비스 계정 정보를 빼냈다. 이후 피해자가 외부에 있는 시점을 구글 위치 기반 기능으로 확인한 뒤, 구글 '내 기기 허브(Find Hub)' 기능을 이용해 스마트폰을 원격 초기화했다. 동시에 자택이나 사무실에 남아 있던 감염된 PC·태블릿을 통해 '스트레스 해소 프로그램'으로 위장한 악성코드를 다시 유포했다.

이 과정에서 피해자들의 스마트폰이 전화·메시지·푸시 알림이 모두 차단된 '먹통' 상태가 되면서, 지인들이 이상을 인지하더라도 연락이 닿지 않아 피해 확산을 막지 못했다.

또한 해커는 피해자의 스마트폰, 태블릿, PC에서 사진, 문서, 연락처 등 핵심 데이터를 삭제한 것으로 파악됐다. 일부 감염된 기기에서는 웹캠과 마이크 제어 기능이 발견돼, 해커가 피해자의 위치나 활동을 실시간으로 감시했을 가능성도 제기됐다.

지니언스는 보고서에서 "단말 무력화와 계정 기반 전파를 결합한 공격은 기존 국가 배후 지능형 지속적 위협(APT) 공격 시나리오에서 전례가 없다"며 "공격의 전술적 성숙도와 탐지 회피 전략의 고도화를 입증한다"고 지적했다.

이어 "구글 계정 비밀번호 정기 변경, 로그인 2단계 인증 적용, 브라우저 비밀번호 자동 저장 금지, PC 미사용 시 전원 차단 등 개인 보안 수칙을 반드시 지켜야 한다"고 강조했다.

앞서 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며, 사용된 악성코드 구조가 기존 북한 해킹 조직이 쓰던 것과 유사하다는 점을 확인했다고 밝혔다.





