[헤럴드경제=나은정 기자] 북한 배후로 추정되는 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 개인 데이터를 통째로 삭제하는 전례 없는 방식의 사이버 공격을 수행한 정황이 포착됐다.

10일 정보보안기업 지니언스 시큐리티센터의 위협 분석 보고서에 따르면 북한 배후가 유력한 사이버 공격자가 스마트폰을 원격 초기화하고 악성 파일을 대량 유포하는 등 현실 세계에서 직접 피해를 일으킨 사례가 최초로 발견됐다.

지난 9월 5일 해커가 국내 탈북 청소년 전문 심리 상담사의 스마트폰을 초기한 뒤 탈취한 카카오톡 계정을 이용해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다. 열흘 뒤 북한 인권 운동가의 스마트폰에서도 동일한 공격이 발생, 카카오톡을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포됐다.

카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격으로 분석됐다. 특히 피해자들은 국세청을 사칭한 이메일을 통해 악성 ZIP 파일을 내려받으면서 해킹에 최초 노출된 것으로 확인됐다.

이번 공격에서 해커는 단순한 정보 탈취를 넘어 ‘데이터 삭제’라는 전례 없는 수법으로 진화했다. 해커는 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복하며 구글 계정 정보 등을 탈취했고, 스마트폰의 구글 위치 조회 기능을 이용해 사용자가 집이나 사무실을 벗어난 시점에 구글 ‘내 기기 찾기’(하인드 허브) 기능을 통해 스마트폰을 원격 초기화했다. 이 과정에서 스마트폰에 저장된 모든 데이터가 삭제되고, PC와 태블릿에도 악성코드가 유포됐다.

심지어 해커는 구글 계정 복구용 이메일로 등록된 네이버 주소를 통해 구글의 보안 경고 메일을 삭제하고 휴지통 기록까지 없애 흔적을 완전히 지웠다.

보고서는 “안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 우려했다.

지니언스는 해킹 피해를 최소화하기 위해 로그인 2단계 인증을 적용하고 브라우저 비밀번호 자동 저장을 삼가며, PC 미사용 시 전원 차단 등 사용자 차원의 기본적인 보안 수칙 준수를 당부했다.

한편 경기남부경찰청 안보사이버수사대는 북한 인권 운동가 해킹 사건을 수사 중이며, 사용된 악성코드가 북한 해킹 조직이 과거 사용해온 코드와 유사하다는 점을 확인했다고 밝혔다.