북한 관련 해킹 조직 ‘김수키’ ‘APT37’과 연계된 것으로 추정되는 집단이 국내에 악성파일을 유포하고, 이를 통해 스마트폰·태블릿·PC를 초기화하는 사이버 공격을 벌인 정황이 나왔다. 단말기를 무력화해 해킹 피해자가 대처하지 못하는 동안 해당 계정으로 악성파일을 퍼뜨리는 방식으로 피해를 키웠다. 카카오톡 등을 통해 정체불명의 파일이 전달된 경우 이를 다운로드하지 않도록 주의가 필요하다.
정보보안기업 지니언스는 자사 시큐리티센터에서 북한을 배후로 둔 것이 유력한 해킹 조직이 카카오톡을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성파일을 대량으로 유포한 정황을 포착했다고 10일 밝혔다. 피해자 중에는 탈북 청소년의 정서적 안정을 지원하는 전문 심리상담사도 포함돼 있었다.
이 조직은 국세청 등을 사칭한 피싱 공격으로 단말기에 침투한 뒤 장기간 내부 정찰과 정보 수집을 진행했다. 국세청 사칭 메일에는 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내’라는 제목의 파일이 첨부돼 있었는데, 피해자가 해당 파일을 다운로드하면 해킹 조직이 바로 단말기 정보를 들여다볼 수 있게 됐다. 이 정보는 2차 악성파일을 전파하는 매개체로 악용됐다. 조직은 단말기 소유자의 카카오톡 계정을 탈취해 친구 목록에 있는 사람들에게 스트레스 해소 프로그램으로 위장한 악성파일을 전송했다.
악성파일을 받은 단말기는 해킹 조직에 의해 초기화됐다. 원격 초기화로 단말기가 정상적으로 동작하지 않는 틈을 타 해킹 조직은 탈취한 카카오톡 계정으로 악성파일을 대량 전송했다. 단말기를 초기화한 뒤에도 해킹 조직은 원격 초기화 명령을 3회 이상 반복 전송해 대상 단말기의 정상적인 복구를 장시간 막는 수법을 썼다고 한다. 이 때문에 피해자는 해킹 여부를 인지하지 못했다.
지니언스 시큐리티센터는 이번 공격으로 개인 식별정보와 민감정보, 웹캠을 통한 사생활 정보까지 새어 나간 것으로 분석했다. 센터 측은 “단말 무력화와 계정 기반 전파를 결합한 공격은 기존 공격 시나리오에서 전례가 없다”며 “북한의 사이버 공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 분석했다. 지니언스는 해킹 피해를 최소화하기 위해서는 계정 비밀번호를 정기적으로 변경하고, 로그인 2단계 인증 등 추가 인증 수단을 적용할 것을 당부했다. 또 브라우저에 비밀번호 자동 저장을 하지 않고, 외출 시에는 컴퓨터 전원을 끄는 습관을 가져야 한다고 조언했다.
심희정 기자 simcity@kmib.co.kr