【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]북한 해킹 조직에 韓 PC·스마트폰도 뚫렸다···악성코드 유포에 원격 초기화까지

온카뱅크관리자

2025-11-10 10:47:30

<div id="layerTranslateNotice" style="display:none;"></div>  <strong class="summary_view" data-translation="true">‘국세청입니다’ 위장한 피싱 메일로<br>악성파일 설치해 피해자 PC 침투<br>PC 카톡 로그인해 악성코드 유포<br>구글 기능 악용해 스마트폰 원격 초기화<br>피해자 외출때 공격···웹캠 해킹도 의심</strong> 
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="FZsIXWOcWZ">
          <figure class="figure_frm origin_fig" contents-hash="97190558d977e0f8d6c09ea7ec7ce665ff34ef7798030d50d239be7d506d1476" dmcf-pid="35OCZYIkCX" dmcf-ptype="figure">
           <p class="link_figure"><img alt="지니언스가 분석한 북한 배후 해킹 조직 활동인 ‘코니’가 국내 안드로이드 단말을 탈취한 경로. 국세청 등을 사칭한 피싱 이메일을 통해 특정인 PC에 악성코드를 설치하게끔 유도한 뒤 침투한 후, 카카오톡 계정을 통해 악성코드 2차 유포를 진행했다. 동시에 ‘구글 파인드 허브’ 기능을 악용해 스마트폰 등 다른 안드로이드 기기는 초기화함으로써 데이터를 대거 삭제하고, 피해자가 대응하기 어렵도록 교란했다. [출처 = 지니언스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/10/mk/20251110104507371ikxj.png" data-org-width="700" dmcf-mid="5qOCZYIkht" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/10/mk/20251110104507371ikxj.png" width="658"></p>
           <figcaption class="txt_caption default_figure">
            지니언스가 분석한 북한 배후 해킹 조직 활동인 ‘코니’가 국내 안드로이드 단말을 탈취한 경로. 국세청 등을 사칭한 피싱 이메일을 통해 특정인 PC에 악성코드를 설치하게끔 유도한 뒤 침투한 후, 카카오톡 계정을 통해 악성코드 2차 유포를 진행했다. 동시에 ‘구글 파인드 허브’ 기능을 악용해 스마트폰 등 다른 안드로이드 기기는 초기화함으로써 데이터를 대거 삭제하고, 피해자가 대응하기 어렵도록 교란했다. [출처 = 지니언스]
           </figcaption>
          </figure>
          <div contents-hash="6c639b608c522d18ce7f32f5ce1e851f9a9d14b8be0b393017434753cf02cb2b" dmcf-pid="01Ih5GCEWH" dmcf-ptype="general">
           북한 배후로 추정되는 해커 집단이 국내 이용자의 구글 계정을 탈취해 스마트폰·태블릿까지 원격 제어한 사례가 나왔다. 해커들은 피해자의 PC에 침투해 카카오톡 PC 버전으로 피해자 지인에 악성코드를 유포하면서, 피해자의 스마트폰과 태블릿은 원격으로 초기화해 데이터를 무단 삭제했다.
          </div>
          <p contents-hash="b1349d8404c39a820950ad00605f243c81dc9867cef7845cd27e6c00a398b508" dmcf-pid="ptCl1HhDCG" dmcf-ptype="general">국가 배후 해킹 조직이 이처럼 원격 제어 권한을 확보한 후 기기 위치 추적과 원격 초기화까지 감행한 공격은 이번이 처음이다.</p>
          <p contents-hash="3d70fb9e4d65ca51e01364b24cffa8411fbbcc9df21930fafc5b27db35edc07f" dmcf-pid="UvAkSIcnSY" dmcf-ptype="general">국내 보안 기업 지니언스의 시큐리티 센터(GSC)는 10일 보고서를 통해 “한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화되어 기기에 저장된 데이터가 무단 삭제되는 피해가 발생했다”라고 언급했다.</p>
          <p contents-hash="cb41ad4d3c11125732c92b8b2ed9e57498729e3dbebdb58a2f1cb4f456a59eed" dmcf-pid="uTcEvCkLlW" dmcf-ptype="general">지니언스에 따르면 해당 공격은 북한 배후 해킹 조직인 김수키 또는 APT37 그룹과 연계된 것으로 알려진 코니 APT 캠페인의 새로운 공격이다.</p>
          <p contents-hash="1b3512d188c4a0090648990813ac7c81f585cb329d6cda5ccaa9938d8ae7dc70" dmcf-pid="7ykDThEovy" dmcf-ptype="general">해킹 조직은 우선 국세청 등을 사칭한 스피어 피싱(특정인을 겨냥한 타깃형 피싱) 공격을 통해 악성 파일을 내려받도록 해 특정인의 단말에 침투했다. 피해자 시스템에서는 이러한 메일을 통해 내려받은 것으로 추정되는 ‘탈세 제보 신고에 따른 소명 자료 제출 요청 안내’ 등의 파일명이 확인됐다.</p>
          <p contents-hash="e8b25e5729072ecaf2aa6debc1f0134e7a9946f0d0d92e2c33b66f18da3fe809" dmcf-pid="zWEwylDgST" dmcf-ptype="general">침투한 해킹 조직은 장기간 PC에서 잠복하면서 사용자 모니터링을 통해 구글·네이버 등 로그인 정보, 피해자의 민감 정보를 확보했다.</p>
          <figure class="figure_frm origin_fig" contents-hash="302b39e616a9185b5c54e4da349a0c9c5fe912b242d9dfda3ca008edb9b63057" dmcf-pid="qYDrWSwavv" dmcf-ptype="figure">
           <p class="link_figure"><img alt="카카오톡 계정 정보를 탈취한 공격자가 피해자의 카카오톡 계정을 통해 피해자의 카카오톡 친구를 대상으로 ‘스트레스 해소 프로그램’을 위장한 악성코드를 대량 유포했다. [출처 = 지니언스]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/10/mk/20251110104508717zjex.jpg" data-org-width="700" dmcf-mid="tBqbM6B3h5" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/10/mk/20251110104508717zjex.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            카카오톡 계정 정보를 탈취한 공격자가 피해자의 카카오톡 계정을 통해 피해자의 카카오톡 친구를 대상으로 ‘스트레스 해소 프로그램’을 위장한 악성코드를 대량 유포했다. [출처 = 지니언스]
           </figcaption>
          </figure>
          <div contents-hash="b916ec6eef4fd1071bebd876a81a7ef81d9f1c45516ce44ee062a9ddcc1286dc" dmcf-pid="BGwmYvrNvS" dmcf-ptype="general">
           이러한 방식으로 해킹 조직은 지난 9월 5일 한국 내 탈북 청소년 전문 심리상담사의 카카오톡 계정까지 탈취해 카카오톡 연락처에 있는 탈북민 학생에게 ‘스트레스 해소 프로그램’으로 위장한 악성파일을 전송했다. 수신자는 해당 파일을 실행하면서 피해가 확산되어 9월 15일에는 또 다른 피해자 카카오톡 계정을 통해 악성파일 유포가 한 차례 더 이뤄졌다.
          </div>
          <p contents-hash="f222caccc6c5e1a16a8d1e6c43867f69df449033276ce7ac7394f5cb17b73689" dmcf-pid="bHrsGTmjTl" dmcf-ptype="general">해당 심리상담사는 자신이 보낸 적 없는 메시지가 전송된 것을 확인한 후 해킹 피해를 의심해 경기남부경찰청에 신고를 접수한 상태다.</p>
          <p contents-hash="d40e5d27dbc9f635cd7e5705489e0522de7ae54e22f9402be351cdb0d7b79ea9" dmcf-pid="KXmOHysAyh" dmcf-ptype="general">해커 조직은 악성파일 유포에 그치지 않고 피해자가 사용하는 안드로이드 기반 스마트폰과 태블릿까지 원격으로 공격했다. 이들은 구글 도난·분실 기기 관리를 위해 제공하는 기능인 ‘내 기기 허브(Find Hub)’를 악용했다.</p>
          <p contents-hash="bfdd9bb36908ef7d6551670a39e6948a54f92095ddc24a7ada7589c89a3b3f26" dmcf-pid="9ZsIXWOcvC" dmcf-ptype="general">‘내 기기 허브’에 등록된 안드로이드 기반 스마트폰과 태블릿을 대상으로 원격 초기화 명령을 실행함으로써 피해자 단말에 저장된 데이터를 삭제했으며, 한 차례 초기화 이후에도 동일한 명령을 3회 이상 반복하면서 피해자의 복구를 교란했다. 카카오톡 무단 유포도 이 시점에 진행함으로써 피해자는 즉각적인 대응을 하지 못한 것으로 파악된다.</p>
          <p contents-hash="8d4993875901487d772b9e92d32b853804f9f524048f232173231fdbb6899ed0" dmcf-pid="25OCZYIkvI" dmcf-ptype="general">또한 해커 조직은 위치 조회 기능까지 활용해 피해자가 외부에 있음을 확인한 뒤 이같은 원격 초기화를 실행한 것으로 나타났다.</p>
          <p contents-hash="19a758fdd56c06ea026d764216769459ff7292c7d7183c74b9cb550badd5489b" dmcf-pid="VBHZqUXShO" dmcf-ptype="general">피해자 PC의 웹캠까지 해킹됐을 가능성도 제기된다. 보고서는 “국가 배후 위협 행위자는 웹캠을 악용하여 사용자의 주변 환경을 은밀히 모니터링하거나, 사용자의 부재 시점을 파악해 추가 공격을 수행할 수 있다”라며 웹캠을 탈취한 사생활 감시까지 이어질 수 있다고 설명했다.</p>
          <p contents-hash="f24c849e180cc7b24f12c2f1a732247e352b3986dac7141f7f3f0ad17394d4af" dmcf-pid="fbX5BuZvvs" dmcf-ptype="general">이같은 공격에 대비하기 위해 지니언스는 구글 계정 비밀번호를 정기적으로 변경하고, 2단계 인증과 같은 추가 인증 수단을 적용할 것을 권고했다.</p>
          <p contents-hash="44835b2d56d6b37ae6b9296f1075b02b603b21f478f9c1fee77da884f8e660d3" dmcf-pid="4KZ1b75TTm" dmcf-ptype="general">또한 웹 브라우저 로그인 시에는 비밀번호 자동 저장을 지양해야 한다고 설명했다.</p>
          <p contents-hash="349f7357999758e065b8f74321d5bc46e073ef3cd6d6268b9a8c9e9d9d9ef055" dmcf-pid="895tKz1yTr" dmcf-ptype="general">이어 지니언스는 기기 초기화 통로가 된 구글의 ‘내 기기 허브’ 기능에 대해서는 서비스 제공자인 구글이 기기 실소유자 재확인을 포함한 추가 인증 절차 등 실시간 보안 검증 조치를 검토·적용할 필요가 있다고 밝혔다.</p>
          <p contents-hash="d2ba55748c70422c8e9fd51e8b77bd99c861dfeeb160297ae75a67b9690162d1" dmcf-pid="621F9qtWWw" dmcf-ptype="general">한편 경기남부경찰청 안보사이버수사대는 북한 인권 운동가의 해킹 사례를 수사 중이며 범행에 이용된 악성코드 구조가 북한 해킹 조직이 주로 사용해온 것과 유사하다는 점을 확인했다고 밝혔다.</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 매일경제 &amp; mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

놀이터홍보 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기