- 북한 추정 해커, 스마트폰·PC 원격 초기화로 핵심 데이터 삭제
- 구글 계정 탈취 후 원격 조작·악성코드 재유포 확인.
- 피해자 기기 통신 차단·사진·문서 등 핵심 정보 영구 손실
- 일부 단말기서 웹캠·마이크 제어 흔적… 실시간 감시 정황
북한 배후로 추정되는 해킹조직이 국내 인권활동가와 전문가의 스마트폰 및 PC를 원격으로 초기화해 사진, 문서, 연락처 등 핵심 데이터를 삭제한 정황이 확인됐다. 단순한 정보 탈취를 넘어 실질적 파괴와 감시를 결합한 형태로, 국가 주도의 사이버 공격이 개인 생활 영역까지 침투한 첫 사례로 평가된다.
정보보안기업 지니언스 시큐리티센터가 10일 발표한 위협 분석 보고서에 따르면, 지난 9월 국내 심리상담사와 북한 인권운동가의 안드로이드 스마트폰이 원격으로 초기화되는 사건이 연이어 발생했다. 해커는 피해자의 스마트폰을 제어한 뒤, 탈취한 카카오톡 계정으로 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 대량 전송했다. 공격은 신뢰관계를 악용한 전형적 사회공학적 수법이지만, 이후 전개 방식은 이전과 확연히 달랐다.
지니언스는 해커가 피해자의 구글 계정과 주요 IT 서비스 로그인 정보를 장기간 수집해온 뒤, 피해자가 외부에 있을 때 구글의 ‘내 기기 허브(Find Hub)’ 기능을 악용해 스마트폰을 원격 초기화했다고 밝혔다. 동시에 감염된 PC와 태블릿을 이용해 악성 파일을 재배포하며 공격을 확산시켰다. 이 과정에서 피해자의 스마트폰은 전화·문자·알림이 모두 차단돼 완전히 고립됐다. 외부와의 통신이 끊긴 사이, 내부 저장 데이터는 일제히 삭제됐다.
조사 결과 일부 감염된 단말기에서는 웹캠과 마이크 제어 기능이 작동한 흔적도 확인됐다. 지니언스는 “이 기능은 단순 감염을 넘어 피해자의 위치나 활동을 실시간으로 모니터링했을 가능성을 시사한다”며 “단말 무력화와 계정 기반 전파를 결합한 공격은 기존 APT(지능형 지속 위협)에서도 유례가 없다”고 분석했다.
이번 공격의 본질은 ‘데이터 파괴’를 통한 직접적 현실 피해다. 개인정보 유출을 넘어, 복구 불가능한 형태의 손실이 발생했고 피해자들은 업무, 사회관계, 일상 전반에서 장기적 차질을 겪고 있다. 특히 카카오톡, 구글 등 일상 필수 플랫폼이 공격 통로로 활용되면서, 공격의 범위가 ‘국가 안보’에서 ‘개인 생태계’로 확대됐다는 점이 주목된다.
[사진=지니언스 시큐리티 센터]
전문가들은 이번 사례를 “공격자의 목표가 정보 수집이 아닌 신뢰체계 붕괴와 심리적 혼란 유발에 있다”고 분석한다. 사이버전의 성격이 정보전에 머물던 과거와 달리, 이제는 개인 단위의 물리적 피해로 전환되고 있다는 것이다.
지니언스는 “사용자는 구글 계정의 비밀번호를 정기적으로 변경하고, 로그인 2단계 인증을 반드시 적용해야 한다”며 “브라우저 비밀번호 자동 저장을 해제하고, PC 미사용 시 전원을 차단하는 등 기본적인 보안 수칙을 생활화해야 한다”고 권고했다.
한편, 경기남부경찰청 안보사이버수사대는 이번 사건을 국가배후 해킹으로 보고 수사를 진행 중이다. 경찰은 사용된 악성코드 구조가 과거 북한 해킹조직이 사용한 코드와 유사하다고 밝혔다. 이번 사건은 북한발 사이버 공격이 정보 수집을 넘어 ‘디지털 인프라 파괴’ 단계로 진화하고 있음을 보여주는 사례로 평가된다.
김지윤 기자/ hello@sciencewave.kr
Science Wave에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.