북한 연계 해킹 그룹, 원격으로 기기를 겨냥해 데이터 삭제 시도

 

북한이 지지하는 것으로 여겨지는 해킹 그룹이 원격으로 컴퓨터와 안드로이드 스마트폰을 제어해 주요 데이터를 지우는 행보를 가리키는 징후가 확인됐다.

 

9월 5일, 한 해커가 남한의 심리상담사 스마트폰을 원격으로 재설정했고 도난당한 카카오톡 계정을 이용해 상담사의 연락처에 “스트레스 해소 프로그램”으로 위장된 악성 파일을 보냈다고 월요일 지니언스 시큐리티센터가 발표한 위협 분석에서 밝혔다.

 

10일 뒤인 9월 15일에는 북한 인권 운동가의 안드로이드 스마트폰도 원격으로 재설정되었고, 손상된 카카오톡 계정이 이용되어 36명의 지인들에게 악성 파일이 전달됐다.

 

카카오톡 메시지를 통한 악성코드 확산은 신뢰받는 연락처를 가장하는 북한의 전형적인 사회공학 기반 공격으로 분석됐지만, 조사관들은 이번 사례에서 전례 없던 새로운 기법을 발견했다.

 

보고서에 따르면 피해자의 스마트폰과 PC에 침투한 뒤 해커들은 구글(Google) 및 기타 주요 IT 서비스의 계정 정보를 훔친 채 오랜 기간 동안 잠복했다. 그다음 구글의 위치 기반 기기 조회 기능을 활용해 피해자가 가정이나 사무실 밖에 있음을 확인한 뒤 구글의 “Find Hub” 기능으로 원격으로 스마트폰을 재설정했다.

 

동시에 이미 감염된 피해자의 가정이나 사무실에 위치한 PC나 태블릿을 이용해 피해자의 연락처에게 악성코드를 배포했고, 이를 “스트레스 해소 프로그램”과 같은 다른 프로그램으로 위장했다.

 

 

악성 파일이 악성이라는 의심을 가진 일부 수신자들은 피해자에게 전화나 메시지를 통해 진위를 확인하려고 했으나, 해킹된 피해자의 휴대폰에서 푸시 알림, 전화, 메시지가 차단되어 초기 대응이 지연됐다. 이로 인해 2차 피해자의 수가 빠르게 증가했다. 해커는 피해자의 스마트폰, 태블릿, PC에서 사진, 문서, 연락처 등 핵심 데이터를 삭제하기도 했다.

 

보고서에 따르면 공격자들이 PC에 설치된 웹캠을 이용해 피해자가 집에 있는지 여부를 확인했다는 증거도 있다 — 악성코드에는 웹캠과 마이크 제어 기능이 포함되어 있어 감염된 웹캠이 피해자의 모든 움직임을 감시하는 데 활용됐을 가능성이 제기된다.

 

“이와 같은 장치 무력화와 계정 기반 전파의 조합은 이전에 알려진 국가 주도 APT 시나리오들 가운데서도 전례가 없으며 이 보고서에서 처음으로 확인되고 분석됐다”고 지니언스는 밝혔다. APT 시나리오는 고도로 발전한 지속적 위협으로 불리는 사이버 공격에서 사용되는 특정하고 계획된 행동 순서를 가리킨다.

 

“이는 공격자의 전술적 성숙도와 고급 회피 전략을 보여주며, APT 전술의 진화에 있어 중요한 전환점을 표시한다.”

 

지니언스는 피해를 최소화하기 위해 2단계 로그인 검증을 적용하고 브라우저에 비밀번호를 저장하지 말 것을 권고했다. 또한 사용자가 사용하지 않을 때 PC의 전원을 끄고 제조사들이 다단계 인증 시스템을 강화할 것을 촉구했다.

 

앞서 경기 남부지방경찰청 사이버 대응정보부는 북한 인권운동가를 둘러싼 해킹 사건을 수사 중이며 범죄에 사용된 악성코드의 구조가 북한 연계 해킹 그룹이 일반적으로 사용하는 코드와 유사하다고 확인했다고 밝혔다.

BY HYEON YE-SEUL [
[email protected]
]