"스트레스 풀어줄게"…北해커한테 카톡 왔다, 내 위치도 뚫렸다

(서울=뉴스1) 윤주영 기자 = 북한 배후 해커 세력이 이번엔 구글 안드로이드 모바일 기기를 노렸다. 스마트폰·태블릿 PC를 원격으로 초기화시키고, 데이터도 무단으로 삭제했다.

10일 지니언스(263860) 시큐리티 센터는 이런 내용의 '안드로이드 디바이스 대상 원격 초기화 전술' 보고서를 공유했다.

문제가 된 공격 캠페인은 '코니(Konni)'로 명명됐다. 북한 정찰총국 산하 김수키(Kimsuky) 또는 지능형 지속 위협(APT)37 그룹과 관련 있는 것으로 알려졌다.

코니 캠페인은 '스피어피싱' 전술로 초기 침투를 감행했다. 기관 특정인의 권한을 노리고 피싱 메일을 보내는 것이다. 국세청을 사칭한 뒤 '탈세 소명자료 제출 요청' 등으로 위장된 악성 파일을 첨부했다.

메일 첨부파일을 열면 PC 권한이 탈취된다. 피해자 중엔 국내 탈북 청소년 전문 심리상담사도 포함됐다. 공격자는 상담사 PC를 거점으로 삼아 광범위한 모바일 기기 공격을 할 수 있게 됐다.

실제로 올해 9월 5일 해커는 PC 카카오톡으로 탈북민 학생에게 '스트레스 해소 프로그램'이라는 악성파일을 보냈다. 이는 추가 단말 감염 피해로 이어졌다. 같은 달 15일 또 다른 피해자의 카카오톡 계정을 통해 악성 파일이 동시다발적으로 유포된 게 확인됐다.

지니언스 관계자는 "신뢰 기반 커뮤니케이션을 활용해 표적의 심리·사회적 맥락을 정밀히 공략하는 전형적인 사회공학 공격"이라고 설명했다.

특히 공격자는 피해자의 인지 경로를 차단하고자 '원격 기기 초기화' 및 '개인 데이터 삭제'라는 이중 전술을 구사했다.

구체적으로 이들은 구글의 도난·분실 기기 추적 기능인 '내 기기 허브(Find Hub)'를 활용했다. 탈취 구글 계정을 통해 기기 원격 제어 권한을 확보하는 한편, 피해자의 실시간 위치(GPS 좌표)도 추적했다고 한다.

이 관계자는 "특히 위치 추적으로 피해자가 외출한 상태를 노렸다. 피해자가 주요 연락 및 알림 메시지를 수신하기 어렵게 한 뒤, 장시간 지속 공격을 수행했다"고 설명했다.

이어 "국가 배후 캠페인에서 구글의 분실 기기 추적 기능까지 악용된 것은 이번 사례가 최초"라고 강조했다.

국가 배후 사이버 공격이 PC뿐 아니라 일상 속 모바일 기기까지 노릴 수 있다는 걸 여실히 보여줬다는 의미다. 센터는 단말 이상 행위 탐지(EDR) 설루션을 활용한 모니터링 강화를 해결책으로 권고했다.

이 밖에도 센터는 구글 등 서비스 제공사에 휴대기기 실소유자 재확인 등의 추가 인증 절차를 도입할 것을 주문했다. 얼굴 인식, 지문 인식 등 생체 인증과 PIN 입력 등이 대안이 될 수 있다. 메신저 플랫폼 단에서는 파일의 보안성 검증 강화를 해야 한다.

legomaster@news1.kr