"北 해킹 조직이 스마트폰 조종" ... 북한팔이 홍보인가 진짜 위협인가 '논란'

북한을 배후로 둔 해킹 조직이 카카오와 구글 등 국내 서비스를 '원격 조종'했다는 주장이 제기됐다.

10일 보안기업 지니언스 시큐리티 센터(GSC)는 위협 분석 보고서를 내고 북한 배후가 유력한 해킹 조직이 국내서 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 주요 데이터를 통째로 삭제했다고 밝혔다. 단순 개인정보 탈취를 넘어 직접적 피해를 일으킨 첫 사례라고도 강조했다. 해당 보고서를 두고 "북한 위협을 이용한 업체 홍보"라는 주장도 제기됐다.

"북한 해커가 내 스마트폰을 조종했다"

GSC는 "지난 9월 해커가 국내 한 심리 상담사의 스마트폰을 초기화하고 카카오톡 계정을 탈취했다"며 "해당 계정을 통해 '스트레스 해소 프로그램'으로 위장한 악성 파일을 지인들에게 다수 전송했다"고 주장했다. 이들은 같은 달 15일 북한 인권 운동가의 안드로이드 스마트폰도 초기화됐으며, 카카오톡 계정이 탈취돼 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 일어났다고도 밝혔다.

카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격으로 분석됐다는 게 GSC의 설명이다. 보고서를 통해 GSC는 "전례 없는 해킹 수법이 발견됐다"는 주장도 함께 펼쳤다. 해커가 스마트폰, PC 등에 침투한 뒤 장기간 잠복하며 구글 및 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취했다는 것이다.

GSC의 주장에 따르면 해커는 스마트폰의 구글 위치 기반 조회를 통해 이용자가 외부에 있는 시점을 확인한 뒤 구글 '내 기기 허브' 기능을 통해 스마트폰을 원격 초기화했다. 이와 동시에 카카오톡 등 계정을 탈취해 지인들에게 '스트레스 해소 프로그램' 등으로 위장한 악성코드를 유포했다. 이외에도 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하고 웹캠에 접속한 이력도 발견됐다고 밝혔다.

보고서는 대부분의 해킹 피해자는 스마트폰의 푸시 알림·전화와 메시지 등이 차단된 '먹통' 상황도 겪었다고 밝혔다. 이 때문에 지인들에게 악성 프로그램을 전송하고도 초기 대응이 늦어졌다는 것이다.

"위협 팔아 업체 홍보하냐" 주장도

과기정통부 사이버침해대응과는 이같은 GSC의 주장을 두고 "일부 이용자가 스미싱 수법에 당한 것으로 추정된다"고 밝혔다. 과기정통부는 "해당 보고서가 발간된 직후 GSC 측에 해킹 조직과 수법 등을 발견한 과정에 대해 질의했다"며 "GSC 측이 일부 탈북자 등을 인터뷰한 결과 해당 피해가 드러난 것으로 알려졌다"고 밝혔다. 다수의 이용자를 탐문하거나 보안 프로그램을 이용한 것이 아닌 일부 이용자와 대화하며 나온 보고서라는 것이다.

GSC가 이전에도 북한을 배후로 둔 해킹 위협을 제기하며 다수의 보고서를 작성한 것을 두고 일각선 '북한 위협을 통한 업체 홍보'라는 목소리도 나온다. 실제 GSC는 올해에만 6회 이상 북한발 해킹 관련 위협 분석 보고서를 발간했다. 챗GPT로 한국군 신분증을 제작한다거나, 북한 인권단체를 사칭한 스미싱을 벌인다는 주장 등을 펼쳐왔다.

한국인터넷진흥원(KISA) 또한 "중소 보안업체가 최근 러시아, 북한, 중국 등을 배후로 둔 해킹 위협 관련 분석 보고서를 내는 사례가 늘고 있다"고 밝혔다. 한 보안 전문가는 "위협을 홍보 기회로 삼고 업체를 알리려는 수단으로도 해석될 수 있다"며 "자사 보안 프로그램을 구동한 결과가 아니라 이용자 탐문 수준의 보고서를 100% 신뢰할 수 있는지는 의문"이라고 말했다.

해당 사안은 경기남부경찰청 안보사이버수사대와 국가정보원이 맡아 조사 중이다. 경기남부경찰청은 "범행에 이용된 악성코드 구조가 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다"고 밝혔다. 최지희 기자 mymasaki@hankyung.com