한글(.hwp), 워드(.doc) 파일 등 문서유형을 이용해 PC를 노리던 북한 해커들이 최근에는 안드로이드 스마트폰까지 공격을 시도하고 있어 주의가 요구된다. 탈북민이나 북한 관련 민감한 정보를 취급하는 사람들이 공격 당할 경우 상당한 피해를 볼 수 있다는 것이 전문가들의 설명이다.

해커들은 사용자들이 PC보다 스마트폰 보안 의식이 취약하다는 점을 노리고 있다. 특히, 전 세계 스마트폰 점유율이 70%를 넘어서면서 외부에서 받은 앱 설치가 자유로운 안드로이드 기반 휴대전화를 표적으로 삼고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한 해킹 조직으로 알려진 금성121은 지난 8월 탈북민 지원 분야 대상자를 겨냥한 해킹 공격을 시도했다. 해당 공격은 이메일을 통해 악성 파일을 설치하도록 유도하는 방식으로 진행됐고, 해커는 사용자의 운영체제 환경에 따라 공격방식을 달리했다.

사용자가 윈도우를 기반으로 한 PC로 이메일을 열람하면 ‘EXE’ 실행 파일을, 안드로이드 기반 스마트폰이면 ‘APK(안드로이드 앱 패키징 파일)’ 앱 파일을 내려보내는 방식을 사용했다고 한다. 일종의 맞춤형 전략인 셈이다.

해커가 보낸 악성 앱은 설치되면 피해자의 휴대폰 백그라운드에서 동작하고 통화내용을 녹취해 공격자가 설정해둔 서버로 전송한다. 악성 앱에 감염되면 스마트폰이 일종의 도청장치로 바뀌는 것이다.

2014년부터 활동할 것으로 알려진 코니는 그동안 정체불명의 조직이었다. 그러나 최근 국내 보안 업체 이스트시큐리티(ESRC)와 안랩(ASEC)은 코니가 지난 2014년 한국수력원자력을 공격한 북한 해커조직 김수키(Kimsuky)와 관련성이 있다고 전했다.

ESRC에 따르면 코니는 지난 8월 암호화폐 거래소로 위장해 회원들에게 이메일을 보내고 계정 보호용이라며 APK 파일을 설치할 것을 유도했다. 여기에 사용자가 PC로 접근한 경우에는 ‘모바일 환경에서만 설치가 가능합니다’는 문구를 띄우면서 스마트폰에 앱을 설치하도록 했다. 악성 앱에 감염되면 스마트폰의 단말기 정보가 탈취된다.

북한의 해커 조직은 2017년 전후로 스마트폰 해킹을 적극적으로 시도하고 있는 것으로 전해졌다. 심지어 구글의 감시망을 뚫고 공식 앱 마켓인 구글플레이에 악성 앱을 올리기도 했다.

미국 보안업체 맥아피는 지난 2018년 “북한 해커조직이 한국의 특정 앱으로 위장해 구글플레이에 등록했다”며 “이들은 페이스북을 통해 탈북민에게 접근한 뒤, 스마트폰에 이 앱들을 설치하도록 권했다”고 밝힌 바 있다.

해당 앱에 감염되면 스마트폰에서 연락처와 사진, 문자 메시지가 해커에게 탈취된다.

전문가들은 스마트폰이 한 번 해킹되면 PC보다 더 큰 피해를 볼 수 있다고 주의를 당부하고 있다.

자료출처=데일리엔케이