최근 북한 배후 해킹 조직이 개인 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 데이터를 통째로 삭제하는 수법으로 사이버 공격을 한 정황이 드러났다. 북한의 지시를 받는 사이버 공격자가 개인정보 탈취 수준을 넘어 스마트폰·PC를 무력화시킨 첫 사례란 점에서 각별한 대응과 경각심이 요구된다.
지난 10일 한 정보보안기업의 사이버 위협 분석 보고서에 의하면 지난 9월 해커가 국내 한 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 다수 전송한 것으로 밝혀졌다. 같은 달 중순엔 한 북한 인권 운동가의 스마트폰 카카오톡 계정을 통해서도 악성 파일이 지인 36명에게 동시다발적으로 유포됐다.
이 두 사건의 공통점은 해커에 의해 안드로이드 스마트폰이 초기화되고, 그 과정에서 탈취한 카카오 계정을 이용해 악성 파일을 퍼뜨리는 수법이 사용된 점이다. 전문가들은 해커가 카카오톡 메시지를 통해 악성코드를 유포한 것에 대해 전형적인 북한 발 해킹 공격으로 분석하고 있다. 이들 북한 해커들이 신뢰관계가 있는 지인으로 위장하는 특성이 있다는 거다.
이번 사건에서 새롭게 밝혀진 사실은 해커가 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취하는 수법이 사용된 점이다. 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 해커가 구글 '내 기기 허브'(파인드 허브) 기능을 통해 스마트폰을 원격 초기화한 것. 동시에 자택·사무실 등에 있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 '스트레스 해소 프로그램' 등으로 위장한 악성코드를 유포하는 사이버 공격 수법이 추가로 발견됐다.
해커는 피해자들의 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제했다. 피해자 중 일부가 악성 파일을 의심하고 파일을 보낸 지인에게 전화나 메시지 등으로 진위를 물으려 해도 피해자의 스마트폰이 푸시 알림·전화와 메시지 등이 이미 차단된 상황이다 보니 초기 대응이 늦어지고 이로 인해 추가적인 피해가 빠르게 확산한 것이다.
해커가 피해자가 외부에 있음을 확인하는 데 PC 등에 탑재된 웹캠을 활용한 정황도 드러났다. 악성코드에 웹캠, 마이크 제어 기능이 포함돼 있었는데, 감염된 웹캠을 통해 피해자 일거수일투족을 감시했을 가능성이 있다는 거다.
북한 발 해킹 공격이 이번처럼 안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합해 나타난 건 이번이 처음이다. 이는 북한의 사이버공격 전술이 우리 사회 일상으로 깊숙이 파고들어 이를 파괴하는 단계까지 이르렀음을 보여주는 사례다.
이번 사이버 공격을 수사해온 경기남부경찰청 안보사이버수사대는 북한 인권 운동가의 해킹 사례를 수사하는 도중 범행에 이용된 악성코드 구조가 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다. 북한 발 해킹이 과거 국가 주도형 조직적 해킹과 군사·외교 기밀 탈취, 대규모 금전 탈취 등에서 더 나아가 인공지능(AI) 기술을 활용해 국내 데이터 서비스, 즉 개인에게도 피해를 입히는 수준으로 지능화 고도화하고 있다는 점에서 대책 마련이 시급하다는 지적이 나온다.
북한의 사이버공격 수법은 최근 2∼3년 사이 단순한 정보 탈취에서 더욱 파괴적인 방향으로 진화하고 있다. 지난 2023년 5월 북한 해킹 조직 'APT37'이 대북 사업가, 단체, 탈북민에게 접근한 뒤 컴퓨터에 저장된 음성 녹음 파일 등을 탈취하려 했던 게 그 직접적인 증거다.
이때 발견된 게 이들이 유포한 게 컴퓨터를 망가뜨리는 파괴형 악성코드다. 당시 대북 사업가, 북한 인권 운동 단체 관계자 등의 정보만 빼돌리려 한 게 아니라 이들의 디지털 기반을 완전히 파괴하는데 목적이 있음이 드러난 것이다.
북한의 사이버 공격이 군사·외교 분야 공격에서 민간으로까지 확대되고 있다는 건 지난 6월 21일 온누리교회에서 벌어진 예배 영상 해킹 사건이 그 대표적인 사례라 할 수 있다. 서울 서빙고동 온누리교회에서 새벽예배 생중계 도중 갑자기 '북한 인공기' 송출되는 사고가 일어났는데 조사 결과 이것이 교회 시스템의 오류가 아닌 외부 해커의 소행인 것이 밝혀졌다. 같은 날 서울의 다른 교회에서도 이와 비슷한 해킹 공격이 있었고, 몇 주 전에도 지방의 한 대형교회에서도 해킹 사고가 있었다는 점에서 북한의 지시를 받은 해커의 사회 혼란을 노린 소행이란 의심이 든다,
디지털 시대에 사이버 공간은 소리 없는 전쟁터다. 북한 정보당국이 전문적으로 양성한 해커들이 우리 인터넷망에 들어와 정부 기관과 기업을 해킹해 정보를 빼내가는 건 그리 놀랄 일도 아니다. 이들은 여론도 마음대로 조작하는 수준에 이르렀기 때문이다.
그런데도 정부의 대응은 안이하다 못해 그냥 수수방관하는 것처럼 보인다. 지난 8월 미국 해킹 전문 매체가 행정안전부 등 중앙부처와 민간기업, 이동통신사 해킹 정황을 보도했지만, 정부는 두 달이 지나서야 이걸 파악하고 인정했을 정도니 말이다.
정보 탈취 수준에 머물렀던 북한의 사이버 공격이 한층 고도화 지능화해 우리 일상으로 파고들고 있다. 이건 곧 우리의 모든 삶의 영역을 마음대로 조작하고, 유린하고, 파괴하는 단계에 도달할 수 있음을 말해준다. 체계적인 국가 차원의 대응책 마련과 함께 개인 또한 경각심을 가지고 주의를 기울여야 할 것이다. 한국교회 차원에서도 각별한 주의와 대응이 요구된다.
