“북 해커, ‘취업제안’ 위장해 가상화폐 거래소 공격”

워싱턴-이경하 rheek@rfa.org
2020-09-09
이메일
댓글
Share
인쇄
국내 최대 가상화폐(암호화폐) 거래소인 빗썸은 지난 2018년 리플을 비롯해 자사가 보유한 가상화폐 350억원어치를 도난당했다고 밝혔다. 사진은 서울 강남구 빗썸 고객센터 모습.
국내 최대 가상화폐(암호화폐) 거래소인 빗썸은 지난 2018년 리플을 비롯해 자사가 보유한 가상화폐 350억원어치를 도난당했다고 밝혔다. 사진은 서울 강남구 빗썸 고객센터 모습.
/연합뉴스

앵커: 핀란드의 한 민간 사이버 보안업체는 북한 추정 해커 조직이 최소 12개국 가상화폐 거래소 직원들에게 취업 제안을 미끼로 사이버 공격을 가했다는 연구보고서를 공개했습니다. 이경하 기자가 보도합니다.

핀란드 헬싱키의 본부를 둔 다국적 민간 사이버 보안업체인 ‘에프-시큐어’(F-Secure)는 최근 ‘가상화폐 체계를 겨냥한 라자루스 조직의 캠페인’(Lazarus group campaign targeting the cryptocurrency vertical)이라는 보고서를 공개했습니다.

‘라자루스’는 2017년 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.

보고서는 북한 해킹 조직으로 알려진 ‘라자루스’가 최근 미국과 한국 등 가상화폐 관련 회사에 근무하는 직원들에게 경쟁사나 상위 회사에 직원처럼 위장해, 허위로 채용 제의를 하며 악성코드를 설치해 사이버 공격을 가하고 있다고 지적했습니다.

특히 보고서는 최소 12개 국가의 피해자들과 북한 추정 해커와의 대화 기록, 또 악성코드를 근거로 2018년 1월부터 심지어 최근 8월말 현재에도 이러한 공격이 발생한 것으로 보인다고 분석했습니다.

보고서에 따르면 ‘라자루스’는 가상화폐 거래소 직원들이 구인구직, 이직을 위해서 일상적으로 이용하는 인터넷 사회연결망인 ‘링크드인’(LinkedIn)의 가짜 계정을 통해 한국과 미국 등에 거주하는 가상화폐 관련 직원들에게 이직 제안을 하며 연락을 취했습니다.

특히 보고서는 ‘라자루스’가 가상화폐 기술 관련 기업에서 피해자들이 반드시 필요하다며 ‘링크드인’에 메시지를 보내는 ‘스피어 피싱’ 방식으로 현혹시켰다고 지적했습니다.

‘스피어 피싱’ 방식은 전자우편을 받아 문서를 열람하면 자동으로 악성코드에 감염되는 방식으로, 평범한 문서 파일로 보이지만 원격 제어 악성코드가 숨겨져 있어 개인정보 유출시도 및 추가 악성코드 설치에 노출될 위험성이 높습니다.

보고서는 북한 추정 해커가 피해자들의 컴퓨터를 악성코드로 감염시킨 후, 피해자들이 추적을 못하게 ‘링크드인’ 가짜 계정을 삭제했다고 설명했습니다.

이와 관련, 이 업체의 맷 로렌스 사이버공격 탐지 및 대응 이사는 9일 자유아시아방송(RFA)에 “우리의 사이버공격 탐지 및 대응 그리고 연구를 통해 이번 사이버 공격의 배후와 그동안의 ‘라자루스’ 활동과의 유사점을 발견했다”며 “우리는 이러한 유사점 때문에 이번 사이버 공격의 배후도 ‘라자루스’로 확신한다”고 밝혔습니다.

그러면서 그는 지금도 ‘라자루스’가 지속해서 금융 기관과 가상화폐 거래소들을 공격하고 있다고 경고했습니다.

이런 가운데, 또다른 북한 추정 해커 집단인 ‘김수키’가 최근 북한 관련 정보를 담은 문서로 사이버 공격을 감행한 정황이 지난 4일 포착됐습니다.

한국 내 민간보업업체 ‘안랩시큐리티대응센터’ 분석자료에 따르면, ‘김수키’가 최근 한국 내 북한 관련 정부 기관, 대학 등에 전자우편으로 유포한 아시아·태평양 연구자료, 2020 서울안보대화 등과 관련한 위장 워드문서를 실행하면 악성코드에 감염되고 있습니다.

이와 관련, 미국 워싱턴의 정책연구소인 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은9일 자유아시아방송(RFA)에 “이러한 보고서들은 북한의 사이버 공격 활동이 제재를 회피하고, 자금을 탈취하기 위해 다양한 측면에서 지속되고 있다는 점을 보여준다”고 분석했습니다.

그러면서 그는 미국과 동맹국들은 북한의 사이버 공격을 감독하고 지휘하는 북한의 정찰총국 산하 기관 등을 대상으로 한 제재 등의 대응책을 강구함으로써, 악의적인 북한의 사이버 공격 활동을 억제해야 한다고 지적했습니다.

매튜 하 연구원: 이러한 보고서들은 미국 정부와 동맹국들이 북한의 사이버 공격 작전을 저지하고 완화하는 데 도움이 될 수 있는 대응책을 마련하기 위한 지침(roadmap)으로 활용돼야 합니다.

한편, 미국 재무부는 지난해 9월 북한의 해킹조직 ‘라자루스’를 ‘블루노로프’, ‘안다리엘’과 함께 제재대상으로 지정하면서, 이 단체가 미국과 유엔 제재 대상인 북한 정찰총국의 통제를 받고 있다고 밝힌 바 있습니다.

원본 사이트 보기