북한 해킹조직, 카톡·스마트폰·PC 장악해 데이터 통째로 삭제…“신규 수법” 작성일 11-10 36 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">개인정보 탈취 넘어 파괴까지 <br> “구글 계정 2단계 인증해야” <br> “비밀번호 자동저장 지양해달라”</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4SHeWSwacy"> <figure class="figure_frm origin_fig" contents-hash="f36f3d1b10f5e8c73b2228aaa505e183457767a3c6f474831be886c42a040b05" dmcf-pid="8TZJGTmjAT" dmcf-ptype="figure"> <p class="link_figure"><img alt="일러스트=챗GPT" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/10/chosunbiz/20251110094248750cozd.jpg" data-org-width="1024" dmcf-mid="V2smBuZvNY" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/10/chosunbiz/20251110094248750cozd.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 일러스트=챗GPT </figcaption> </figure> <p contents-hash="a1494e6b717d6760899bc69d8127d351674310279f6c1f27facfbc52b898837c" dmcf-pid="6y5iHysANv" dmcf-ptype="general">북한 배후 해킹 조직이 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서, 연락처 등 주요 데이터를 통째로 삭제하는 파괴적 수법의 사이버 공격을 단행한 정황이 포착됐다.</p> <p contents-hash="0f92bea95d06e9c7a9144955e2bb4feb29e07c76001caf05c773d59fd5beffc5" dmcf-pid="PW1nXWOcaS" dmcf-ptype="general">10일 정보보안기업 지니언스 시큐리티 센터의 위협 분석 보고서에 따르면 북한 배후 위협그룹 김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 지능형지속공격(APT) 그룹 ‘코니’가 개인 정보 탈취 수준을 넘어 한국 내 구글 안드로이드 기반 스마트폰·태블릿·PC 등을 원격으로 초기화해 기기에 저장된 개인 데이터를 무단 삭제한 사례가 처음으로 발견됐다.</p> <p contents-hash="edfb9ee9cf19950769739b21b232bae547b7a553b81821474e52c88b9f594230" dmcf-pid="QYtLZYIkNl" dmcf-ptype="general">지니언스가 이번 코니 APT 캠페인을 분석한 결과, 해커는 국내 한 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 다수 전송했다. 같은 달 15일 한 북한 인권 운동가의 안드로이드 스마트폰도 초기화되고 탈취된 카카오톡 계정을 통해 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 발생했다.</p> <p contents-hash="1f226a8e609d775a68f2a8ea2bcfee8b7afa627f694662c77c2e9125197ebd1c" dmcf-pid="xGFo5GCEch" dmcf-ptype="general">카톡 메시지를 통한 악성코드 유포는 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발(發) 해킹 공격으로 조사됐다.</p> <p contents-hash="8422d1c0397e4dc91bb18d4da89366f1e483cc0ba121cc955a81ecdd18dbf68b" dmcf-pid="yegtnefzNC" dmcf-ptype="general">보고서에 따르면 이번 사건에서는 전례 없는 공격 수법이 추가로 발견됐다. 해커는 피해자의 스마트폰, PC 등에 침투한 뒤 장기간 잠복해 구글을 포함한 국내 주요 정보기술(IT) 서비스 계정 정보를 탈취했다.</p> <figure class="figure_frm origin_fig" contents-hash="23b41efa0445117f3d5e1b4e7ab5dbe82e913dc89a0d1c12dfa5d77dd70f3eae" dmcf-pid="WdaFLd4qAI" dmcf-ptype="figure"> <p class="link_figure"><img alt="지니언스가 분석한 북한 연계 코니 APT 캠페인의 공격 흐름도 / 지니언스 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/10/chosunbiz/20251110094250048giiy.jpg" data-org-width="1158" dmcf-mid="fvYMThEogW" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/10/chosunbiz/20251110094250048giiy.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 지니언스가 분석한 북한 연계 코니 APT 캠페인의 공격 흐름도 / 지니언스 제공 </figcaption> </figure> <p contents-hash="410965f96bf69b466810cd5a2cf6f92fc317d215caceddc10f4371cccea2914c" dmcf-pid="YJN3oJ8BAO" dmcf-ptype="general">해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인한 뒤 구글 ‘내 기기 허브’(파인드 허브) 기능을 통해 스마트폰을 원격 초기화했다. 동시에 자택·사무실 등에 있는 이미 악성코드에 감염된 PC나 태블릿을 통해 지인들에게 ‘스트레스 해소 프로그램’ 등으로 위장한 악성코드를 유포했다.</p> <p contents-hash="7d80a5f14851786b603dccaccf3eb83c2705cdb1e465cb5c202fea9132083d1d" dmcf-pid="Gij0gi6bos" dmcf-ptype="general">지인 일부가 악성 파일임을 의심하고 전화나 메시지 등으로 진위를 물어도 해킹 피해자의 스마트폰이 푸시 알림·전화와 메시지 등이 차단된 ‘먹통’ 상황이어서 초기 대응이 늦어졌고, 추가 피해는 빠르게 확산됐다.</p> <p contents-hash="281e753047ae7a587177bf17c6aa1e9caae202a2238aa432e9a965da22a53188" dmcf-pid="HnApanPKAm" dmcf-ptype="general">해커는 피해자들의 스마트폰, 태블릿, PC에서 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다.</p> <p contents-hash="8ff20fe3da5a9acd6e00cc88f5110270bf2b9c69c284bdb3ba69f3ecac57f27f" dmcf-pid="XLcUNLQ9Nr" dmcf-ptype="general">보고서는 해커가 피해자가 외부에 있음을 확인하는 데 PC 등에 탑재된 웹캠을 활용한 정황도 있다고 밝혔다. 악성코드에 웹캠, 마이크 제어 기능이 포함돼 있었는데, 감염된 웹캠을 통해 피해자 일거수일투족을 감시했을 가능성이 있다는 설명이다.</p> <p contents-hash="7e2a820bf52615b8ddca199f0494f262f50162663d38a5168e58cf7d3f9d9e6f" dmcf-pid="Zokujox2kw" dmcf-ptype="general">보고서는 “안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 했다.</p> <p contents-hash="f1e79467ae6ec3b1ab695e0db85e07ab6e27f3f5303326e59f3a57bee85625ea" dmcf-pid="5QiXeQKpjD" dmcf-ptype="general">지니언스는 해킹 피해를 최소화하기 위해 “구글 계정의 비밀번호를 정기적으로 변경하고, 2단계 인증(2FA) 등 추가 인증 수단을 적용해달라”고 조언했다. 또 “웹 브라우저 로그인 시 비밀번호 자동 저장을 지양하고, 외출 시에는 컴퓨터 전원을 종료하는 습관을 유지하고 물리적·원격 공격 가능성을 최소화해야 한다”고 덧붙였다.</p> <p contents-hash="2bd40b294badf9e2da4e3b3c9784204797b3e535f7d2cb059edfea68c9105cd2" dmcf-pid="1xnZdx9UoE" dmcf-ptype="general">- Copyright ⓒ 조선비즈 & Chosun.com -</p> </section> </div> <p class="" data-translation="true">Copyright © 조선비즈. 무단전재 및 재배포 금지.</p> 관련자료 이전 [K-VIBE] 전태수의 '웹 3.0' 이야기…기술이 만든 불균형, 데이터로 푼다 11-10 다음 [종합] 게임·결제 등 고른 성장…NHN 3분기 흑자 전환 11-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
