북 해커조직, 암호화폐 하드웨어 지갑까지 노려

워싱턴-양희정 yangh@rfa.org
2020-10-16
이메일
댓글
Share
인쇄
카세 홈페이지에 실린 긴급공지문.
카세 홈페이지에 실린 긴급공지문.
/카세 홈페이지 캡쳐

앵커: 북한 해커조직으로 추정되는 ‘탈륨’이 한국의 온라인과 오프라인 암호화폐 지갑을 대상으로 한 악성문서 파일을 유포하고 있는 것으로 나타났습니다. 양희정 기자가 전해 드립니다.

정보통신매체 ‘지디넷’(ZDNet) 등은 16일 한국의 현대페이가 개발한 암호화폐 하드웨어 지갑 ‘카세(KASSE)’가 이 회사 공식 안내문으로 위장한 악성 이메일이 유포되고 있다는 내용의 주의문을 자체 웹사이트에 올렸다고 보도했습니다.

주의문은 앞서 블록체인 기술기업 에이치닥테크놀로지의 암호화폐인 ‘에이치닥(HDAC)’을 탈취한 해커가 이번에는 암호화폐 하드웨어 지갑인 ‘카세’ 사용자를 대상으로 악성파일을 유포하고 있다는 내용입니다.

하드웨어 지갑이란 암호화폐를 저장하는 인터넷에 연결되지 않은 별도 기기를 말합니다.

이 해커조직은 지난 8월 구글 앱을 구매하는 플레이스토어에 등록된 에이치닥 암호화폐 지갑 앱을 악성 앱으로 바꿔 사용자에게 유포했고, 이 악성 앱을 내려 받은 사용자들은 암호화폐가 무단으로 출금되는 피해를 입었습니다.

그런데 이번에는 이 해커가 또 다시 하드웨어 즉 인터넷과 연결되지 않은 별도 기기에 보관된 암호화폐 탈취를 위한 악성파일을 개발해 추가 공격을 시도했다는 것입니다.

별도 기기에 저장된 암호화폐의 거래 등을 위해 인터넷에 연결된 컴퓨터와 소통하기 위해서는 이 기기에 내장된 펌웨어라는 소프트웨어를 사용하는데, 해커들이 이 펌웨어를 공격하기 위한 악성코드를 하드웨어 지갑 사용자들에게 유포했다는 것입니다.

매체는 그러면서 보안업체들은 두 사건이 모두 북한 정찰총국 소속 해킹조직 ‘탈륨’의 소행일 가능성이 높은 것으로 분석하고 있다고 밝혔습니다.

한국 보안업체 이스트시큐리티의 문종현 이사는 16일 자유아시아방송(RFA)에 인터넷에 연결된 소프트웨어 지갑보다 보안이 좀 더 강화된 것으로 인식되는 하드웨어 지갑까지 공격에 나서는 등 북한의 사이버 공격이 계속되고 있다는 데 주목해야 한다고 말했습니다.

그는 그러면서 보통 국가주도의 해킹조직은 정보 탈취에 주력하는 데 북한의 탈륨 해킹조직은 이와 더불어 암호화폐 지갑 해킹 등을 통한 돈벌이에도 나서고 있다고 지적했습니다.

사안의 민감성을 이유로 익명을 요구한 또 다른 보안전문가는 소프트웨어 암호화폐 지갑인 구글 모바일 지갑 해킹과 유사한 사례는 과거에도 존재했지만 하드웨어 지갑 펌웨어 해킹 사례는 지금까지 공개된 바가 없었다고 말했습니다.

이와 관련해 미국 민주주의수호재단(FDD)의 사이버 안보 전문가인 매튜 하 연구원은 16일 자유아시아방송(RFA)에 북한이 대북제재,코로나19,태풍 등 자연재해 피해라는 3중고 속에서 다양한 방식의 사이버공격을 통한 외화벌이 수단을 강구하고 있다고 말했습니다.

매튜 하 연구원: 북한 해커들이 사용하는 악성코드를 추적하면서 북한 사이버 공격의 위협과 전술에 대해 더 많이 알수록 북한의 사이버 공격을 방어하고 억지하는 전략을 세우는 데 매우 도움이 됩니다.

한편, 김수키라는 이름으로도 알려진 탈륨은 북한 관련 기관∙전문가나 언론인, 탈북단체 등을 대상으로 정보 탈취 공격을 시도한 사례가 보도된 바 있습니다.

유엔 대북제재위원회 전문가단은 최근 공개한 2020년 중간보고서에서 김수키가 지난 3월 유엔 관리들의 전자우편 계정에 대한 스피어 피싱 즉 표적 피싱 공격을 감행했다고 밝혔습니다.

또한 다국적 경영컨설팅, 즉 자문 업체인 ‘프라이스워터하우스쿠퍼스’(PwC)는 이달초 김수키의 간첩활동에 대한 보고서(How Kimsuky’s tradecraft betrays its complementary campaigns and mission)에서 김수키가 한국, 미국, 일본 등을 대상으로 국방∙대외정책, 제재, 고고도미사일방어체계(THAAD) 등에 대한 정보를 탈취하기 위한 스피어 피싱 공격을 감행했다고 지적했습니다.

김수키는 또 지난 2014년 한국수력원자력의 해킹에 이어 최근에는 전 한국 통일부 직원의 주민등록표등본 정보나 청와대행사 견적서로 둔갑한 파일로 특정인을 공격하는 스피어 피싱 공격의 배후로도 지목된 바 있습니다.

한편, 다국적 기업인 마이크로소프트(MS)사는 지난해 12월 ‘탈륨’이 미국 공무원과 연구원을 공격했다며 미국 버지니아주 동부 연방법원에 고소했습니다.

원본 사이트 보기