지니언스 누리집 갈무리 북한의 지령을 받는 것으로 알려진 해킹 조직이 안드로이드 스마트폰과 태블릿 피시(PC)를 원격 조종해 사진, 문서, 연락처 등 주요 데이터를 통째로 삭제하는 ‘초기화 공격’을 벌인 뒤 피해자의 카카오톡으로 악성 코드를 확산시킨 정황이 국내 보안업체를 통해 처음으로 파악됐다. 이들 해킹 조직은 국세청을 사칭해 피해자 개인용 컴퓨터에 악성 코드를 심은 것으로 밝혀졌다.

보안업체 지니언스는 10일 ‘국가 배후 위협 조직의 안드로이드 디바이스 대상 원격 초기화 전술’ 보고서를 공개하고 “북한과 연계된 것으로 알려진 해킹 조직 ‘코니’의 공격 정황을 포착했다”고 밝혔다. 해당 보고서를 보면, 해킹 조직은 우선 국세청을 사칭한 메일을 보내 악성 코드를 유포하는 방식으로 피해자 컴퓨터를 탈취했다. 해당 공격으로 설치된 악성 코드는 피해자 컴퓨터 시스템에 장기간 은밀하게 잠복하며, 추가 악성 코드를 설치하는 등 해커가 실시간으로 시스템을 원격 감지하고 제어할 수 있는 환경을 만들었다.

해커는 이후 구글 계정과 해당 계정에 복구 이메일로 등록된 네이버 계정 정보를 확보한 뒤, 구글 안드로이드 서비스인 ‘내 기기 허브’로 연결된 다른 단말기를 조작할 수 있는 권한까지 탈취했다. ‘내 기기 허브’는 구글 계정을 기기에 추가하는 경우 자동으로 사용이 설정되는 기능이다. 원격으로 기기를 찾거나 잠글 수 있고, 기기 초기화도 가능하다. 해커는 이 기능을 이용해 피해자의 안드로이드 기기(스마트폰, 태블릿)를 강제로 초기화시켰다.

지니언스 누리집 갈무리 해커가 피해자 단말기를 원격으로 초기화시킨 것은 계정을 탈취해 조작하는 동안 피해자가 메신저 앱 등의 푸시 알림을 못 보게 해 대응을 늦추려는 목적으로 보인다고 지니언스는 설명했다. 해커는 이런 방법으로 탈북 청소년 전문 심리상담가의 단말기를 초기화한 뒤 지난 9월 그의 카톡 계정으로 탈북민들에게 ‘스트레스 해소 프로그램’으로 위장한 악성 코드를 전송했다. 해킹에 성공할 경우엔 정보 탈취는 물론, 웹캠과 마이크가 있는 경우엔 사생활 감시도 가능했던 것으로 확인됐다. 이 사건은 앞서 지난 5일 경기남부경찰청 안보사이버수사대가 북한 해킹 조직이 북한 인권 운동가의 휴대전화를 해킹해 악성 파일을 유포한 정황을 수사 중이라고 밝히며 알려진 바 있으나, 구체적인 해킹 수법이 공개되진 않았다.

문종현 지니언스 시큐리티센터장은 “이런 수법은 기존 국가 배후 해킹 공격에서 전례가 없다”며 “유사한 위협에 대응하기 위해 구글 계정 등의 비밀번호를 정기적으로 변경하고 추가 인증 수단을 설정해 계정 보안을 강화해야 한다”고 말했다.