AI 무장 북 해커, 국민 메신저 카카오톡 장악해 악성코드 유포 작성일 11-10 38 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">파인드 허브 통한 파괴 수법 등장<br>카톡 계정 탈취 후 지인 사칭</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="4OJkJx9UCk"> <p contents-hash="9a81f2b162ab0751bacc6fd127911f3381c73743623ef0845f2bc66e1fc19849" dmcf-pid="8IiEiM2uTc" dmcf-ptype="general">북한 배후 해킹조직이 국민 메신저인 카카오톡 계정을 탈취해 지인을 사칭하는 사이버 범죄 수법 정황이 드러났다. 안드로이드 스마트폰과 PC를 원격 조종하는 수법으로 사용자의 폰을 먹통으로 만든 뒤 PC용 카카오톡을 장악해 카톡친구들에게 악성파일을 전달했다. 침해 당한 사람은 스마트폰이 먹통이기에 자신의 PC 카톡에서 어떤 악성코드가 퍼져나가고 있는지 알지 못한다. 이는 기존에 악성코드에 감염돼 해커의 명령에 따라 원격으로 제어되는 일종의 ‘좀비PC’보다 훨씬 고도화된 수법이다. 구글 ‘내 기기 허브’(파인드 허브) 기능을 통해 스마트폰을 원격 조종하는 ‘파괴적 수법’ 공격이 처음으로 확인됐다. 북한 배후 해커들이 인공지능(AI)을 활용해 한층 더 정교한 수법을 쓰면서 국민의 일상이 파괴될 수 있다는 경고가 나온다.</p> <p contents-hash="f8328d0d2e89b6372ad9878d7986a4a66c0c7aeae726d72931db1c7ff0d8a66b" dmcf-pid="6CnDnRV7hA" dmcf-ptype="general">10일 정보보안기업 지니언스가 공개한 위협 분석 보고서에 따르면 북한 배후가 유력한 사이버 공격자가 안드로이드 스마트폰과 PC를 원격 조종해 사진과 문서 및 연락처 등 개인정보 데이터를 삭제하는 사이버 공격 사례를 파악했다.</p> <p contents-hash="205b2c1edc7756e048462d265fc85a9fed9a0af454c6ccfcaef658e307ffa574" dmcf-pid="PhLwLefzWj" dmcf-ptype="general">보고서에 따르면 지난 9월 5일 해커가 국내 한 심리 상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 지인들에게 다수 전송했다. 같은 달 15일 북한 한 인권 운동가의 안드로이드 스마트폰도 초기화되는 사고가 발생했다. 이 운동가의 카카오톡 계정도 털리며 악성 파일이 지인 36명에게 동시다발적으로 유포되는 사건이 발생했다.</p> <p contents-hash="c5c0e48829087071d93223759f606dd470bf679a755e8b5125c76100b6691f11" dmcf-pid="Qlorod4qyN" dmcf-ptype="general">이번 공격 수법에 대해 신뢰가 있는 지인 관계를 위장한 전형적인 사회공학 기반 북한발 해킹 공격이라고 분석했다.</p> <p contents-hash="9467173a8f7edee7456b4a4f00dee3a814dace22afbe1a8701a8270423e84f7e" dmcf-pid="xSgmgJ8BWa" dmcf-ptype="general">해킹 당한 심리 상담가와 북한 인권 운동가의 피해 경로에 대해선 국세청을 사칭한 이메일을 확인하면서 였을 것으로 봤다. 이메일에 포함된 ‘탈세제보 신고에 따른 소명자료 제출 요청 안내.zip’ 등 악성 코드가 포함된 파일을 다운로드하면서 사건이 발생했다는 설명이다.</p> <p contents-hash="4cdd6de969f2930b8f3d5900e9f5cfe04ad71c07db690f29bb956db389b64d9a" dmcf-pid="yqy3yhEoyg" dmcf-ptype="general">해커들은 피해자 스마트폰을 초기화하는 동시에 이미 악성코드에 감염된 자택·사무실 PC나 태블릿을 통해 지인들에게 위장한 악성코드를 유포했다.</p> <p contents-hash="436aa17ac37ce80c7db4a46f20bb335af791947ac6e155bd70f0946d50476153" dmcf-pid="WBW0WlDgho" dmcf-ptype="general">악성 파일을 받을 사람이 보낸 지인에게 “이게 뭐냐”고 묻고 싶어도 소용이 없었다. 해킹 피해자의 스마트폰이 푸시 알림 및 전화, 메시지 등이 차단된 ‘먹통폰’이 됐기 때문이다. 이에 추가 피해가 빠르게 확산된 것으로 나타났다. 해커들은 피해자들의 스마트폰과 태블릿, PC를 통해 사진과 문서, 연락처 등 주요 데이터를 삭제하기도 했다.</p> <figure class="figure_frm origin_fig" contents-hash="31fa9202ac56b6f90aea6624dca1c4f2f093c770be5ec3508b2381564e351e24" dmcf-pid="YbYpYSwaSL" dmcf-ptype="figure"> <p class="link_figure"><img alt="카카오톡 플랫폼을 통한 악성파일 유포 사례. 지니언스 제공" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/10/dt/20251110171716145naff.jpg" data-org-width="640" dmcf-mid="fOKMK75ThE" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/10/dt/20251110171716145naff.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 카카오톡 플랫폼을 통한 악성파일 유포 사례. 지니언스 제공 </figcaption> </figure> <p contents-hash="5339a0e3b9f3d95b9d437cb8089cbc1f18d24869daae52161c28a2151bdf5634" dmcf-pid="GKGUGvrNCn" dmcf-ptype="general"><br> 보고서는 특히 전례 없는 공격 수법이 추가로 발견된 점에 주목했다. 해커들이 피해자의 스마트폰과 PC 등에 침투한 뒤 장기간 잠복하며 구글과 국내 주요 정보기술(IT) 서비스 계정 정보 등을 탈취한 것으로 나타났다.</p> <p contents-hash="1da139f4a507e8d9964a2dec7d214586597a1698c3aff8b909cee7203c642123" dmcf-pid="H9HuHTmjli" dmcf-ptype="general">해커는 스마트폰의 구글 위치 기반 조회를 통해 피해자가 자택이나 사무실 등이 아닌 외부에 있는 시점을 확인했다. 이후 구글 파인드 허브 기능을 통해 스마트폰을 원격 초기화했다.</p> <p contents-hash="1b284780d4e54b5de5b4a978962e4b8defad02b16cf97b14a5e3f9d39bcb5542" dmcf-pid="X2X7XysASJ" dmcf-ptype="general">해커는 이 수법을 쓰기 위해 피해자의 구글 지메일에 로그인한 후 구글 계정 관리 페이지에 접속해 복구 이메일로 등록된 네이버 메일 주소를 확인했다. 네이버 계정에 로그인한 이후 구글이 발송한 보안 경고 메일을 삭제, 휴지통 기록까지 모두 지우는 등 활동 흔적도 말끔히 정리했다.</p> <p contents-hash="1615adf03772e2e28b9df7e2be524eb7d223d18e8512f9f12c17b021c1941425" dmcf-pid="ZVZzZWOcTd" dmcf-ptype="general">해커가 피해자가 외부에 있음을 확인할 때는 PC 등에 탑재된 ‘웹캠’을 활용한 정황도 확인했다. 악성코드에 웹캠과 마이크 제어 기능이 포함돼 감염된 웹캠을 통해 피해자의 일상을 전부 감시했을 가능성이 있다고 판단했다. 동작 표시등(LED)이 없는 웹캠을 쓴 피해자들은 영상 스트리밍이 활성화돼도 인지하기 어려워 영상이 찍히고 있다는 사실을 알아채지 못했을 것이라는 설명이다.</p> <p contents-hash="3e9fc1e4a5769bc5b303b6ee67cee9001513ff9f8d82ca97d5b39de8e3d4ffa1" dmcf-pid="5f5q5YIkhe" dmcf-ptype="general">지니언스 측은 “안드로이드 스마트기기 데이터 삭제와 계정 기반 공격 전파 등 여러 수법을 결합한 전략은 기존 북한발 해킹 공격에서 전례가 없었다”며 “북한의 사이버공격 전술이 사람들의 일상으로 파고드는 실질적 파괴 단계로 고도화되고 있음을 보여준다”고 말했다.</p> <p contents-hash="3f02ad720ab34a3d0ec815d323b44abbcd62cf75a0608a450cc2584ff6733da1" dmcf-pid="141B1GCETR" dmcf-ptype="general">임성원 기자 sone@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 [팩플] 핸드폰 털렸는데, 집에 있는 PC까지 털렸다, 더 교묘해진 북한 해킹 수법 11-10 다음 2026년 스포츠강좌이용권 전국 동시 접수 11-10 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
