민간인 겨눈 북한 사이버 심리전…스마트폰 마비·카톡 감염까지

지니언스 “공공기관 사칭 후 일상기기 파괴·관계망 교란까지 진화”

북한 해킹조직이 구글 ‘내 기기 찾기’ 기능을 악용해 민간인의 스마트폰을 원격으로 초기화하고, 카카오톡을 통해 악성파일을 유포하는 신종 공격을 벌인 정황이 포착됐다.

정보보안업체 지니언스 시큐리티 센터(GSC)는 10일 발표한 보고서에서 북한 배후로 추정되는 해킹 조직이 개인의 스마트폰과 PC를 원격으로 조작해 초기화시키는 새로운 공격 수법을 사용한 사실을 확인했다고 밝혔다. 이 공격은 단순히 정보를 훔치는 수준을 넘어, 피해자의 기기를 마비시키고 지인 관계망을 무너뜨리는 심리전 양상으로 발전한 점이 특징이다.

과거 북한발 사이버 공격은 주로 공공기관과 기업의 내부 자료를 빼내는 산업 스파이형 해킹이 주를 이뤘다. 그러나 이번 사례에서는 인권단체 활동가, 심리상담사, 탈북민 지원자 등 민간인을 표적으로 삼아 사회적 약자와 연결된 영역을 직접 공격한 것으로 나타났다. 이는 개인의 일상기기를 매개로 한 정보수집과 심리적 교란, 그리고 지인 관계망을 이용한 2차 감염 확산을 노린 것으로 분석됐다.

정교한 침투 수법…‘국세청 공문’ 사칭으로 신뢰 확보

지니언스 보고서에 따르면 해커들은 먼저 국세청 공문을 사칭한 이메일을 발송해 피해자에게 악성파일을 열도록 유도했다. 이메일 제목은 “탈세 제보 소명자료 제출 요청.zip”처럼 실제 공문과 유사한 형식을 사용했으며, 피해자 중에는 탈북 청소년을 상담하던 심리상담사도 포함된 것으로 확인됐다.

이메일을 받은 피해자가 파일을 열면 내부에 포함된 AutoIt(오토잇, 반복작업 자동화 수행언어)기반 악성 스크립트가 자동으로 설치돼 시스템 내부 정보를 탐색하고, 브라우저·카카오톡 등 주요 계정 정보를 탈취했다. 이 악성파일은 설치 중 ‘언어팩 오류’라는 가짜 팝업을 띄워 감염 사실을 숨겼고, 이후에는 작업 스케줄러에 자동 실행 명령을 등록해 1분 단위로 재실행되도록 설정됐다.

공격자는 이렇게 확보한 계정 자격증명을 이용해 피해자의 구글 계정에 접근했다. 이어 구글의 자산관리 서비스인 ‘내 기기 찾기(Find My Device)’ 기능을 악용해 피해자가 외출 중임을 확인한 후 스마트폰과 태블릿을 원격으로 초기화(Factory Reset)했다. 일부 피해자의 경우 이 명령이 여러 차례 반복 실행돼, 기기를 장시간 사용할 수 없게 되는 사례도 보고됐다.

카카오톡 통한 2차 감염…‘스트레스 해소 프로그램’ 위장

기기 초기화 이후 공격자는 피해자의 PC 버전 카카오톡 세션을 이용해 또 다른 공격을 이어갔다. 탈취한 계정으로 지인들에게 ‘스트레스 해소 프로그램’으로 위장한 악성파일(Stress Clear.zip)을 자동 전송했다. 이 파일은 중국 기업 명의의 실제 디지털 서명을 포함해 정상 프로그램처럼 보이도록 위장했다.

설치 과정에서 ‘언어팩 오류’ 메시지가 표시되어 사용자가 감염 사실을 인식하지 못한 상태에서, 내부적으로는 RemcosRAT·QuasarRAT·RftRAT 등 원격 제어 악성코드가 동시에 설치되었다. 이들 프로그램은 키보드 입력 감시, 파일·화면 열람, 카메라·마이크 접근 등 피해자의 일상 활동을 감시·통제하는 기능을 수행한다.

“Konni 조직의 진화형 공격”…개인기기 파괴 중심으로 전환

지니언스는 이번 공격이 과거 북한의 Konni APT 조직이 사용했던 코드 구조, 명령 체계, 제작 도구 버전과 거의 일치한다고 분석했다. Konni는 북한의 대표적인 정보수집형 해킹 조직으로, 최근 들어 정보 탈취 중심에서 기기 파괴 및 신뢰망 교란형 공격으로 전략을 바꾸고 있다는 평가가 나온다.

보고서는 이번 공격을 “Konni 계열이 수행한 최초의 민간인 대상 원격 초기화형 APT 공격”으로 정의하며, 국가 차원의 심리전적 성격이 강하다고 진단했다.

일반 이용자를 위한 보안수칙

지니언스는 일반 이용자에게 다음과 같은 보안수칙을 제시했다.

▲모든 주요 계정(구글·네이버·카카오 등)에 2단계 인증 설정 ▲비밀번호 자동저장 금지 및 암호관리 앱 사용 ▲공공기관 사칭 이메일·메신저 첨부파일 절대 실행 금지 ▲‘내 기기 찾기’ 등록 기기 목록 주기 점검, 낯선 기기 접근 시 즉시 로그아웃 ▲정기적 백업과 EDR(엔드포인트 위협 탐지) 솔루션 활용

지니언스 보고서는 북한 해킹조직의 공격이 단순 정보 탈취에서 개인의 삶과 사회적 신뢰망을 직접 파괴하는 단계로 진화하고 있음을 경고했다. 스마트폰을 사용하는 모든 시민이 잠재적 표적이 될 수 있으며, ‘한 번의 클릭’이 개인정보뿐 아니라 사회적 관계망 전체를 흔들 수 있다는 점을 경계해야 한다고 강조했다.