스마트폰 노리는 北해커… “감염 시 도청기·위치추적기로 전락”

해킹
북한 해커조직의 공겸 범위가 스마트폰까지 넓어지고 있다. / 사진=pixabay

한글(.hwp), 워드(.doc) 파일 등 문서유형을 이용해 PC를 노리던 북한 해커들이 최근에는 안드로이드 스마트폰까지 공격을 시도하고 있어 주의가 요구된다. 탈북민이나 북한 관련 민감한 정보를 취급하는 사람들이 공격 당할 경우 상당한 피해를 볼 수 있다는 것이 전문가들의 설명이다.

해커들은 사용자들이 PC보다 스마트폰 보안 의식이 취약하다는 점을 노리고 있다. 특히, 전 세계 스마트폰 점유율이 70%를 넘어서면서 외부에서 받은 앱 설치가 자유로운 안드로이드 기반 휴대전화를 표적으로 삼고 있다.

악성 앱 설치 유도 후 정보 탈취하는 北 해킹 조직들 

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 북한 해킹 조직으로 알려진 금성121은 지난 8월 탈북민 지원 분야 대상자를 겨냥한 해킹 공격을 시도했다. 해당 공격은 이메일을 통해 악성 파일을 설치하도록 유도하는 방식으로 진행됐고, 해커는 사용자의 운영체제 환경에 따라 공격방식을 달리했다.

사용자가 윈도우를 기반으로 한 PC로 이메일을 열람하면 ‘EXE’ 실행 파일을, 안드로이드 기반 스마트폰이면 ‘APK(안드로이드 앱 패키징 파일)’ 앱 파일을 내려보내는 방식을 사용했다고 한다. 일종의 맞춤형 전략인 셈이다.

해커가 보낸 악성 앱은 설치되면 피해자의 휴대폰 백그라운드에서 동작하고 통화내용을 녹취해 공격자가 설정해둔 서버로 전송한다. 악성 앱에 감염되면 스마트폰이 일종의 도청장치로 바뀌는 것이다.

주로 북한 관련 정보수집을 하던 코니 그룹은 최근 이 같은 악성 앱을 유포하면서 스마트폰을 노리고 있다고 한다.

2014년부터 활동할 것으로 알려진 코니는 그동안 정체불명의 조직이었다. 그러나 최근 국내 보안 업체 이스트시큐리티(ESRC)와 안랩(ASEC)은 코니가 지난 2014년 한국수력원자력을 공격한 북한 해커조직 김수키(Kimsuky)와 관련성이 있다고 전했다.

ESRC에 따르면 코니는 지난 8월 암호화폐 거래소로 위장해 회원들에게 이메일을 보내고 계정 보호용이라며 APK 파일을 설치할 것을 유도했다. 여기에 사용자가 PC로 접근한 경우에는 ‘모바일 환경에서만 설치가 가능합니다’는 문구를 띄우면서 스마트폰에 앱을 설치하도록 했다. 악성 앱에 감염되면 스마트폰의 단말기 정보가 탈취된다.

북한의 해커 조직은 2017년 전후로 스마트폰 해킹을 적극적으로 시도하고 있는 것으로 전해졌다. 심지어 구글의 감시망을 뚫고 공식 앱 마켓인 구글플레이에 악성 앱을 올리기도 했다.

미국 보안업체 맥아피는 지난 2018년 “북한 해커조직이 한국의 특정 앱으로 위장해 구글플레이에 등록했다”며 “이들은 페이스북을 통해 탈북민에게 접근한 뒤, 스마트폰에 이 앱들을 설치하도록 권했다”고 밝힌 바 있다.

해당 앱에 감염되면 스마트폰에서 연락처와 사진, 문자 메시지가 해커에게 탈취된다.

악성앱
안드로이드 단말기에 악성앱이 다운로드 시도 중인 화면. / 사진=이스트시큐리티 시큐리티대응센터 제공

감염시 ’24시간 켜져 있는 도청기 겸 위치추적기’로 전락…2차 피해 발생 우려

전문가들은 스마트폰이 한 번 해킹되면 PC보다 더 큰 피해를 볼 수 있다고 주의를 당부하고 있다.

문종현 ESRC 이사는 “악성 앱에 감염되면 음성통화 녹취뿐만 아니라 일상적인 대화까지도 녹음될 가능성이 높다”며 “스마트폰은 PC와 달리 24시간 켜져있고 사용자와 함께 있다는 점에서 일상생활에 실질적인 위협으로 다가올 수 있다”고 말했다.

여기에 위치 정보까지 노출되면 실시간 이동 경로가 해커에게 전달되며 스마트폰 내부의 연락처, 사진, 문자 메시지 등의 은밀한 정보가 해커에게 유출돼 2차 피해가 발생할 우려도 있다는 것이 문 이사의 설명이다.

그는 “공식 마켓에서 다운받은 검증된 앱 이외에는 가급적 설치하지 않는 것이 해킹 피해를 예방할 수 있는 방법이다”며 “지인이 보낸 URL이나 파일이더라도 우선 주의 깊게 확인하고 가급적 전화 통화로 사실 여부를 확인하는 습관이 중요하다”고 덧붙였다.

한편, 스마트폰은 악성코드 감염 여부를 확인하기 어려울 뿐만 아니라 복구에도 어려움이 있는 것으로 나타났다.

문 이사는 “해커들은 설치된 앱이 지워질 수 있다는 점을 우려해 일단 감염되면 추가 악성 앱을 C2 서버에서 내려보낸다”며 “해당 앱들은 백그라운드에서 작동하기 때문에 감염 여부를 육안상 확인하기 어렵다”고 말했다. 이어 “알려진 악성앱의 경우 모바일 백신프로그램으로 진단 및 치료가 가능하기 때문에 항상 최신버전으로 설치하고 실시간 감시를 활성화하는 것이 중요하다”고 강조했다.

문 이사는 또 “악성앱 감염이 의심되면 스마트폰을 공장 초기화 하는 방식으로 복구 할 수 있다”며 “SD카드에 악성앱이 저장됐을 수 있어 함께 초기화하기를 권장한다. 또한 초기화 이후에는 앱을 자동으로 다운로드받지 말고 가급적 일일이 공식 마켓에서 앱을 받는 것이 좋다”고 설명했다.

소셜공유