북한 관련 해커 조직인 김수키, APT37 그룹과 관련 있는 것으로 추정되는 조직이 안드로이드 스마트폰과 PC에 악성코드를 감염시키고 사진과 문서, 연락처 등 주요 데이터를 통째로 삭제하는 사이버 공격을 수행한 정황이 포착됐다. 10일 보안업체 지니언스 시큐리티 센터는 이러한 내용을 포함한 위협 분석 보고서를 발표했다.
보고서에 따르면, 북한 배후가 유력한 사이버 공격자는 구글의 ‘내 기기 허브’ 서비스를 악용해 스마트폰과 태블릿 PC에 악성코드를 감염시키고 기기를 강제 초기화 시켜 개인 데이터를 무단 삭제했다. 구글의 내 기기 허브는 도난 또는 분실된 안드로이드 기기의 위치 등을 확인하는 기능으로, 해커가 탈취한 구글 계정을 통해 원격 제어 권한을 확보하고 기기의 위치 추적 및 원격 초기화를 시켜 피해를 끼친 최초의 사례다.
이 해커는 스마트폰을 초기화하면서 사용자의 카카오톡 계정을 탈취해 사용자의 지인들에게 악성코드를 대량으로 전송하기도 했다. 지난 9월 5일 해커는 국내 한 심리 상담사의 스마트폰을 탈취해 상담사의 카카오톡 계정으로 다수의 지인에게 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 전송했다. 또 같은달 15일에는 북한 인권 운동가의 스마트폰을 초기화하고, 카카오톡 계정을 탈취해 36명에게 동시에 악성코드를 유포했다.
해커가 유포한 악성코드에는 웹캠, 마이크 제어 기능이 포함돼 있다. 보고서는 “감염된 웹캠을 통해 해커가 피해자 일거수일투족을 감시했을 가능성이 있다”고 했다. 이번 해킹 수법은 기기에 악성코드 감염시켜 데이터를 삭제하는 수법과 계정을 탈취해 공격을 확대하는 2가지 수법이 결합한 것이다. 보고서는 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 했다.