국세청인 줄 알았는데 “왜 북한이?”…순진하게 믿었다가 ‘피눈물’

북한 배후 해킹 조직
스마트폰 ‘원격 초기화’ 수법 발견
물리적 파괴 단계로 위협 고도화

북한 배후로 추정되는 해킹 조직이 개인의 스마트폰과 PC를 원격 조종해 저장된 사진, 문서 등 주요 데이터를 통째로 삭제하는 ‘파괴적 수법’의 사이버 공격을 시도한 정황이 국내에서 처음 발견되어 충격을 주고 있다.

이는 기존의 정보 탈취 수준에 머물던 북한의 해킹 전술이 국민들의 일상으로 직접 파고들어 실질적인 피해를 일으키는 단계로 고도화되었음을 의미한다.

구글 기능 악용, 스마트폰 데이터 통째로 삭제

이번 해킹 사건은 지난 9월 국내 탈북 청소년 심리 상담사와 북한 인권 운동가 등을 표적으로 삼아 발생했다.

정보보안기업 지니언스 시큐리티 센터의 11월 10일 위협 분석 보고서에 따르면, 해커는 피해자들의 스마트폰, 태블릿, PC 등에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취했다.

해커는 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 파악한 뒤, 구글 계정의 ‘내 기기 허브’ 기능을 통해 피해자의 안드로이드 스마트폰을 원격으로 초기화했다.

이는 기기에 저장된 사진, 문서, 연락처 등 주요 데이터를 모두 삭제하는 파괴적인 결과를 낳았다.

해커들은 피해자가 외부에 있음을 확인하기 위해 PC 등에 탑재된 웹캠을 활용한 정황도 포착되어 감시 활동까지 벌였던 것으로 추정된다.

‘스트레스 해소 프로그램’ 위장, 악성코드 유포

해커들은 피해자들의 스마트폰을 원격 초기화하는 동시에, 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’ 등으로 위장한 악성 파일을 지인들에게 다수 전송했다.

신뢰 관계를 위장한 카카오톡 메시지를 이용한 악성코드 유포는 북한발 해킹의 전형적인 사회 공학적 공격 수법으로 분석된다.

피해자들은 국세청을 사칭한 이메일을 받고 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 등 악성 코드가 포함된 파일을 내려받으면서 해킹에 최초 노출된 것으로 파악되었다.

해커는 구글 지메일에 로그인한 후 구글이 발송한 보안 경고 메일을 삭제하는 등 활동 흔적을 깨끗이 지우는 치밀함을 보였다.

피해자의 스마트폰이 원격 초기화로 ‘먹통’ 상태가 되자, 지인들이 악성 파일의 진위를 물어도 초기 대응이 늦어져 추가 피해는 빠르게 확산했다.

AI로 고도화되는 북한 사이버 위협

이번 사건은 북한 해킹 조직의 공격 패턴이 새로운 국면으로 접어들었음을 보여준다. 북한의 사이버 공격 전술은 최근 2~3년 사이 파괴적인 방향으로 진화하고 있다.

2023년에는 북한 해킹 조직 ‘APT37’이 대북 사업가 등의 컴퓨터를 손상하는 파괴형 코드를 유포하며 제3의 피해를 노린 정황이 확인되기도 했다.

최근 급속도로 발달하는 인공지능(AI) 기술은 북한 해커들의 역량을 키워주는 역할을 한다.

미국의 생성형 AI 모델 제작사 앤트로픽은 북한 해커 그룹이 AI를 활용해 프로그래밍 역량이 부족하더라도 정교하게 조작된 가상 신원을 만들고 기술 평가를 수행하도록 했다고 밝혔다.

전문가들은 북한의 사이버 공격 전술이 안드로이드 스마트기기 데이터 삭제, 계정 기반 공격 전파 등 여러 수법을 결합하여 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있다고 우려한다.

AI스페라 강병탁 대표는 “공격자는 AI 발달로 즉시 공격하지만, 우리의 방어 수준은 예전과 똑같다”며 사이버 보안 문화 개선의 시급성을 지적한다.

해킹 피해를 최소화하기 위해 사용자들은 로그인 2단계 인증을 적용하고 브라우저 비밀번호 자동 저장을 삼가며, 제조사 차원의 다중 인증 체계 강화가 요구된다.