카카오톡 애플리케이션과 클라우드 문서 공유 소프트웨어를 활용해 탈북자 및 북한인권 관계자의 스마트폰 기기 정보를 수집하는 북한발 사이버 공작 정황이 확인됐다.
기사는 탈북자와 북한인권 운동가들을 표적으로 하는 북한 해커들의 다양한 사이버 공작 의혹이 세계적인 IT보안 전문 회사인 맥아피(McAfee)로부터 제기됐다고 전했다.
지디넷에 따르면 한국의 탈북자들과 각종 북한인권단체 관계자들이 북한의 해킹 공작에 노출되어 있는데, 여기서 북한이 사용하는 도감청 수법이 바로 당사자들이 사용하는 안드로이드 계열의 스마트 폰에 트로이 악성 코드 소프트웨어를 이식하는 것이다.
지디넷은 맥아피의 전문가를 인용해 이런 공작을 자행하는 일당에 대한 단서도 전했다. 바로 ‘더 썬(The Sun)’이라고 불리는 팀의 소행이며, 이 팀은 기존의 사이버 범죄와 연루된 기록이 없다는 것이다.
맥아피 분석 결과에 의하면, ‘더 썬’ 팀은 기존 카카오톡과 페이스북 계정을 통해서 악성코드를 목표 사용자의 기기에 살포하는 방식을 활용한다. 실제 사례로, 북한 관련 주제 익명의 카카오톡 메시지 혹은 대화 도중 '북한을 위한 기도(Pray for North Korea.apk)' 혹은 '블러드어시스턴트(BloodAssistant.apk)라는 위장 악성파일을 설치하도록 권유하는 방식을 소개했다.
헬스케어 앱과 종교 앱으로 위장된 악성파일은 이후에 파일 다운로드 유인을 통해서 목표 스마트폰에 설치된다. 카카오톡 외에도 페이스 북도 역시 유인 경로로 활용된다.
맥아피 분석관들은 “악성 .apk 파일로 설치된 악성코드는 이후 목표 스마트폰에 다른 감염이 있는지 확인한 후, 피싱 공격의 일환으로 ‘접속 환경 변경(turning on the accessibility settings)’을 사용자에게 요구하며, 기기에 대한 완벽한 통제권을 확보한다”고 밝혔다.
해당 악성파일은 작동 과정에서 ‘접속 환경 변경’을 기만하기 위해 짧은 광고나 비디오를 광고 화면으로 덮어씌우기를 해서 시선을 분산시킨 후, 접속 환경 변경이 완료되면, 덮어씌운 화면이 사라지게 하는 한층 지능화된 피싱 방식도 사용한다.
최종적으로 목표 기기에 악성코드가 완벽히 설치되면, 악성코드는 클라우드 서비스인 ▲ 드롭박스(Dropbox), ▲ 구글(Google), ▲ 얀댁스(Yandex)를 통제 서버 혹은 데이터 허브로 활용해 데이터 불법 유출 또는 새로운 지령 접수 창구로 활용한다는 것이 맥아피를 인용한 지디넷의 지적이다.
지디넷은 해커가 훔친 파일이나 정보는 클라우드 전송 전 임시저장 폴더인 ‘썬팀(Sun Team)’이라는 파일에 저장된다면서 현재는 이 폴더 이름이 바로 북한 해커 그룹의 명칭으로 굳어진 상황이다.
아울러 맥아피는 북한 해커로 추정할 수 있는 대공 용의점으로써, ▲ 한국어 사용 및 한국 문화의 익숙한 정도, ▲ 클라우드 계정의 이름이 대부분 한국 유명 연예인으로 저장되었다는 점, ▲ 혈액형의 북한식 표기법 등등도 근거로 제시했다.
맥아피는 최종적으로 와이파이 작동으로 인해 IP 추적만으로 해킹의 배후를 정확히 지목하기는 여러 한계가 있었으나, 활동 양상으로 볼 때 해당 해커는 분명 탈북 인사들의 생활 패턴을 정확히 이해하고 있으며 해킹 대상도 관련 자원 봉사자들의 인적 네트워크에 집중 되어있다고 밝혔다.
지디넷은 마지막으로 맥아피의 민재원 분석관을 인용해 “모든 안드로이드 스마트폰 사용자는 항상 모바일 백신을 주기적으로 업데이트하며, 구글플레이를 통한 카카오톡 다운을 권장하며, 반드시 공식적인 절차를 통한 앱 설치를 해줄 것을 강조했다”며 당부의 메시지와 함게 기사를 마무리 했다.
