앵커 : 북한 해킹조직이 한국에서 많은 사상자가 발생한 '이태원 참사' 비극을 악용해 사이버 공격을 감행한 사실이 확인됐습니다. 또 다른 북한 해킹 조직은 암호화폐 투자회사를 위장해 고객들을 대상으로 사이버 공격해킹을 시도했습니다. 조진우 기자가 보도합니다.
세계 최대 인터넷 검색 업체 구글의 위협분석그룹(TAG)은 7일 보고서를 발표하고 지난 10월 말 북한 해킹조직 'APT37'의 소행으로 보이는 '이태원 참사' 관련 사이버 공격을 발견했다고 밝혔습니다.
구글은 이 북한 해킹조직이 한국의 비극적인 사건에 대한 대중의 관심을 악용해 해킹을 감행했다며, 이태원 참사 대처상황 보고서로 위장한 악성문서를 한국인들에게 배포하고 피해자들이 문서를 내려받도록 만들어 악성코드를 설치했다고 지적했습니다.
문제의 문서는 한국 행정안전부 중앙재난안전대책본부 보고서로 위장한 악성파일로 사고개요와 인명피해, 조치 상항 등이 자세히 적혀 있습니다.
이태원 참사는 10월29일 서울 용산구 이태원동의 한 좁은 골목에 축제를 즐기기 위해 수많은 인파가 몰리면서 발생한 압사 사고로 158명이 사망하고 196명이 다쳤습니다.
구글은 ‘APT37’이 인터넷 탐색기인 ‘인터넷 익스플로러’ 내 제로데이 취약점(CVE-2022-41128)을 악용해 공격했으며, 아직 구체적인 악성코드는 확인되지 않았지만 이 해킹조직이 과거 ‘돌핀’(Dolphin)이나 ‘블루라이트’(Bluelight) 등의 악성코드를 배포했다고 밝혔습니다.
이어 구글은 ‘APT37’이 인터넷 익스플로어 제로데이의 취약점을 악용해 해킹 공격을 한 것이 이번이 처음은 아니라며 과거에도 한국인과 탈북자, 정치인, 언론인, 인권 운동가를 대상으로 해킹을 했다고 지적했습니다.
그러면서 이 사이버 공격을 발견한 뒤 수일 내로 보안 조치를 했다고 덧붙였습니다.
이런 가운데 세계 최대 소프트웨어 업체인 마이크로소프트(Microsoft)는 6일 자사 블로그에 공개한 보고서를 통해 암호화폐 투자회사로 위장한 해커 집단 ‘DEV-0139’의 해킹 위협을 확인했다고 밝혔습니다.
마이크로소프트는 ‘DEV-0139’가 미국의 사이버 보안 업체 ‘볼렉시티’(Volexity)가 최근 공개한 해킹 조직과 같다며, 이들은 악성코드 ‘애플제우스’와 ‘MSI’로 알려진 변형 멀웨어(악성 소프트웨어)를 사용하고 있다고 밝혔습니다.
자유아시아방송은 지난 1일 볼렉시티의 보고서를 인용해 북한의 해킹조직 라자루스가 가짜 암호화페 사이트와 앱(어플: 응용 프로그램)으로 암호화폐 사용자를 유인해 해킹을 시도하고 있다고 보도한 바 있습니다.
마이크로소프트에 따르면 ‘DEV-0139’는 사회연결망서비스인 텔레그램을 통해 암호화폐 투자회사의 VIP고객에 접근해 신뢰를 얻은후 암호화폐 거래소인 오케이엑스와 바이낸스, 후오비 등의 VIP 요금 구조를 비교한 엑셀 문서에 악성코드를 심어 배포했습니다.
마이크로소프트는 “암호화폐 시장은 여전히 해킹조직의 관심 분야”라며 “(해킹) 성공 가능성을 높이기 위해 신뢰할 수 있는 채널(통로)을 통해 피해자를 식별하고 있다”고 지적했습니다.
기자 조진우, 에디터 양성원, 웹팀 이경하