티스토리 뷰
목차
🚨 전례 없는 파괴적 사이버 공격: 북한 해킹 조직의 스마트폰 원격 초기화와 웹캠 감시 전술
북한 배후 해킹 조직이 국내 탈북민 및 북한 인권 활동가를 대상으로 전례 없는 '파괴적 사이버 공격'을 감행한 정황이 포착되어 심각한 보안 위협으로 대두되고 있습니다. 기존의 해킹이 단순 정보 탈취나 금전적 이득을 목표로 했다면, 이번 사건은 스마트폰과 PC의 데이터를 통째로 삭제(원격 초기화)하고, 탈취한 계정을 통해 지인들에게 악성 파일을 대규모 유포하는 실질적 파괴 단계로 고도화된 전술을 보여줍니다. 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면, 해커는 피해자의 외출 시간을 노려 원격 초기화를 실행하고, 심지어 웹캠을 통해 피해자의 일거수일투족을 감시했을 가능성까지 제기되면서 사이버 위협이 일상생활을 잠식하는 현실이 되었습니다.
주요 피해자는 탈북 청소년 전문 심리 상담사와 북한 인권 운동가로, 해킹 조직이 특정 대상층을 노린 목적성이 분명한 공격임을 시사합니다. 피해자들은 국세청 사칭 이메일 등을 통해 악성코드에 최초 노출되었고, 해커는 이후 구글 및 네이버 계정을 탈취하여 보안 흔적을 지우는 치밀함을 보였습니다. 특히 구글 '내 기기 허브' 기능을 악용하여 안드로이드 기반 스마트 기기를 원격 초기화하고, 이와 동시에 탈취한 카카오톡 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성코드를 36명 이상의 지인들에게 동시다발적으로 유포함으로써 2차, 3차 피해를 확산시켰습니다. 이러한 공격 수법의 결합 전략은 기존 북한발 해킹 공격에서 전례가 없던 것으로, 사이버 안보 태세의 근본적인 재검토가 필요함을 역설합니다.
📱 파괴적 전술 분석: 원격 초기화와 계정 기반 공격
이번 공격에서 발견된 가장 충격적인 수법은 스마트폰을 '먹통'으로 만드는 원격 초기화 명령입니다. 이는 단순 데이터 탈취를 넘어 피해자의 기능 자체를 마비시키는 파괴적 전술입니다.
1. 구글 '내 기기 허브' 악용 메커니즘
해커는 피해자의 구글 계정 정보(ID/PW)를 탈취한 후, 구글에서 제공하는 '내 기기 허브'(파인드 허브, Find Hub) 기능을 악용했습니다. 이 기능은 분실된 스마트폰의 위치를 찾거나 원격으로 데이터를 초기화하여 정보 유출을 막는 정당한 보안 기능입니다. 그러나 해커는 피해자가 외부에 있는 시점을 노려 이 기능을 통해 '디바이스 와이프 액션(Device Wipe Action)'을 실행했습니다. 그 결과, 스마트폰, 태블릿 등에 저장된 사진, 문서, 연락처 등 주요 데이터가 모두 삭제되는 극심한 피해가 발생했습니다. 합법적인 기능을 악의적인 목적으로 전용했다는 점에서 보안 체계의 맹점을 드러냈습니다.
2. 카카오톡 계정 탈취를 통한 악성코드 대량 유포
원격 초기화와 동시에 해커는 탈취한 카카오톡 계정을 이용해 악성코드를 다수의 지인들에게 유포했습니다. '스트레스 해소 프로그램'이라는 일상적이고 무해해 보이는 내용으로 위장한 악성 파일 유포는 '신뢰 관계'를 이용한 전형적인 사회공학(Social Engineering) 기법입니다. 피해자의 스마트폰이 초기화되어 통신이 불가능한 '먹통' 상태인 동안, 악성코드 유포는 방해받지 않고 빠르게 확산되었으며, 지인들의 진위 확인 요청 전화나 메시지가 피해자에게 전달되지 못해 초기 대응이 지연되는 치명적인 결과로 이어졌습니다.
👁️🗨️ 사생활 감시 의혹: 웹캠 악용과 활동 흔적 삭제
이번 사건에서는 해커가 피해자의 개인 정보를 장기간 잠복하며 감시하고 치밀하게 범행 흔적을 지운 정황도 드러나 사이버 스파이 행위에 대한 우려를 높이고 있습니다.
1. 웹캠을 통한 일거수일투족 감시 의혹
보고서는 악성코드에 웹캠 및 마이크 제어 기능이 포함되어 있었으며, 해커가 이를 활용해 피해자가 자택이나 사무실에 없는 외출 시점을 파악했을 가능성을 제기했습니다. 특히 동작 표시등(LED)이 없는 웹캠을 사용한 피해자의 경우, 영상 스트리밍이 활성화되어도 자신이 감시당하고 있다는 사실을 전혀 인지하지 못했을 것으로 추정됩니다. 이는 '캠펙(Camfecting)'과 같은 사생활 침해를 넘어선 심각한 사이버 스파이 행위로, 일상 공간에서의 보안 위협이 얼마나 현실화될 수 있는지를 보여줍니다.
2. 치밀한 계정 탈취와 흔적 지우기
해커는 피해자의 구글 지메일에 로그인한 후 복구 이메일로 등록된 네이버 메일 주소를 확인했습니다. 이어 네이버 계정에도 로그인하여 구글이 발송한 '보안 경고 메일'을 삭제하고 휴지통 기록까지 모두 지우는 등 범행 흔적을 깨끗이 은폐했습니다. 이러한 행위는 단기적인 절도나 해킹이 아니라, 장기간에 걸쳐 피해자의 디지털 라이프를 장악하고 통제하려는 고도로 치밀한 전략이었음을 보여줍니다. 복구 이메일 주소까지 확인하여 보안 알림을 차단한 것은 피해자의 초기 대응 기회를 철저히 박탈하려는 의도였습니다.
🇰🇵 북한발 해킹의 고도화와 지정학적 목표
이번 공격의 배후가 북한 해킹 조직으로 지목되는 것은 단순 범죄를 넘어선 지정학적 목표가 숨어 있음을 의미합니다. 특정 인물들을 표적으로 한 공격은 사회적 혼란 및 주요 정보 획득을 목적으로 합니다.
1. 목적성이 명확한 표적 공격(Targeted Attack)
피해자가 탈북 청소년 전문 심리 상담사와 북한 인권 운동가라는 점은 해킹 조직의 목표가 '대북 인권 관련 활동'에 대한 방해 및 위협임을 명확히 합니다. 데이터 삭제와 계정 탈취는 피해자의 업무 수행 능력을 마비시키고, 지인들을 대상으로 한 악성코드 유포는 관련 네트워크를 와해시키려는 의도로 풀이됩니다. 북한의 사이버 공격 전술이 국가 안보와 직결되는 사안이며, 사이버 공간을 이용한 심리전 및 공작 활동의 일환으로 봐야 합니다.
2. 전술 결합을 통한 '전례 없는' 파괴력
안드로이드 스마트 기기 데이터 삭제, 계정 기반 공격 전파, 그리고 웹캠 감시 등 여러 수법을 결합한 전략은 기존 공격에서 볼 수 없었던 수준의 '고도화'를 보여줍니다. 지니언스 시큐리티 센터가 "전례가 없었다"고 우려를 표명한 것은 북한의 사이버 공격 능력이 사람들의 일상으로 직접적인 피해를 일으키는 '실질적 파괴 단계'로 진화했음을 경고하는 것입니다. 국가적 차원의 사이버 방어 태세는 이러한 다중 결합 공격에 대응할 수 있는 시스템을 갖추어야 합니다.
🔐 개인 및 기업 차원의 필수 보안 강화 조치
고도화된 사이버 위협 시대에 개인과 기업 모두 보안 수칙을 철저히 준수하여 피해를 최소화해야 합니다. 이는 국가 안보를 지키는 기본 수칙이 됩니다.
1. 2단계 인증 및 계정 보안 강화
가장 기본적이지만 가장 강력한 방어 수단은 로그인 2단계 인증(Two-Factor Authentication)을 모든 주요 계정에 적용하는 것입니다. ID와 비밀번호가 탈취되더라도 추가적인 인증 절차(SMS, 보안 앱 등)를 거치게 하여 해커의 계정 무단 사용을 원천적으로 차단할 수 있습니다. 또한, 브라우저 비밀번호 자동 저장을 삼가고, 복구 이메일 주소를 주기적으로 확인 및 변경하여 해커가 보안 경고 알림을 은폐하지 못하도록 해야 합니다.
2. 물리적 차단 및 디지털 위생 습관
웹캠을 통한 감시 의혹을 차단하기 위해 PC 미사용 시 전원을 차단하거나, 웹캠에 물리적인 커버(덮개)를 부착하여 비활성화하는 것이 필요합니다. 출처가 불분명한 이메일 첨부 파일(특히 zip 파일)은 절대 다운로드하거나 실행하지 않는 '디지털 위생' 습관을 철저히 해야 합니다. 디지털 제조사 역시 다중 인증 체계 강화 등 사용자 보호를 위한 기술적 조치를 선행해야 합니다.