“북 추정 해커, 한국 가상화폐 노린 사이버 공격 감행”

워싱턴-이경하 rheek@rfa.org
2019-03-28
이메일
댓글
Share
인쇄
‘라자루스’의 악성코드가 담긴 가짜 한글 문서.
‘라자루스’의 악성코드가 담긴 가짜 한글 문서.
사진출처: ‘카스퍼스키 랩’(Kaspersky Lab)

앵커: 북한과 연계된 것으로 추정되는 해커가 한국에서 가상화폐를 노리는 사이버 공격을 감행하고 있다고 러시아와 한국의 민간 사이버보안 업체들이 밝혔습니다. 이경하 기자가 보도합니다.

러시아에 본부를 둔 다국적 기업인 ‘카스퍼스키 랩’(Kaspersky Lab)은 27일 북한의 대표적인 해킹조직으로 알져진 ‘라자루스’가 지난해 11월부터 현재까지 주로 한국의 가상화폐 거래소를 노리는 사이버 공격을 감행하고 있다고 밝혔습니다.

이 업체는 27일 공개한 ‘‘라자루스’가 여전히 목표로 삼고 있는 가상화폐 사업’ (Cryptocurrency businesses still being targeted by Lazarus)이란 보고서에서 이같이 밝혔습니다.

‘라자루스’는 2017년 5월 전 세계 150여개국 30여만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격, 2014년 미국 소니 영화사 해킹 사건 등 각종 사이버 공격의 배후로도 의심받고 있습니다.

그러면서 이 업체는 ‘라자루스’가 최근에도 가상화폐 거래소 공격을 목적으로 미국 마이크로소프트사의 윈도우 뿐만 아니라 새롭게 미국 애플사의 맥(Mac) 운영체제를 겨냥한 ‘파워쉘’(PowerShell) 악성코드를 지속적으로 배포하고 있다고 밝혔습니다.

특히 이 업체는 ‘라자루스’가 악성코드가 담긴 가짜 한글 문서를 이용해 한국에 있는 가상화폐 거래소를 주요 공격 대상으로 삼았다고 지적했습니다.

실제 이 업체에 따르면 ‘라자루스’는 ‘벤쳐기업 평가를 위한 기술사업계획서’와 ‘중국블록체인협회 한국지부 사업개요’ 내용이 담긴 HWP형식의 한글문서를 사용했습니다. (윗 사진참고)

그러면서 가짜 문서를 HWP한글 문서로 제작한 이유는 한국을 주 공격대상으로 삼았기 때문이라고 이 업체는 분석했습니다.

한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)도 28일 ‘자이언트 베이비 작전’(Operation Giant Baby)이라는 보고서를 통해 “가상화폐의 일종인 ‘알리바바 코인’(ABBC Coin·ABBC)의 지갑(Wallet) 프로그램과 함께 악성코드가 설치되는 사이버 공격이 한국에서 발견됐다”고 밝혔습니다.

특히 이 업체는 이번 사이버 공격을 추적하던 중 해커의 이메일과 비밀번호를 발견했으며, 이메일 설정에 북한인임을 표시한 사실을 포착했습니다.

실제 이 업체에 따르면 해커가 해당 이메일을 처음 가입할 때 적용한 암호 분실시 사용하는 보안 설정에 ‘나는 북한 사람입니다’라는 영문 문장 ‘I am North Korean’을 질문으로 설정해 두었습니다. (사진참고)

사진출처: 이스트시큐리티(ESTSecurity)

그러면서 이 업체는 “‘거짓 표식’(False Flag)으로 보기에는 여러 정황상 한계가 있다”며 “가입시 설정된 보안 질문이 외부에 노출될 것이라 판단하지 못했던 것으로 분석된다”고 밝혔습니다.

아울러 이 업체는 이번 사이버 공격의 악성코드의 암호로 ‘wjsgurwls135’을 사용했다는 점을 주목했습니다.

이어 이 업체는 ‘wjsgurwls135’를 한글 상태에서 키보드로 입력하면 한글식 이름 ‘전혁진135’으로 표시된다고 설명했습니다.

그러면서 이 ‘전혁진’은 지난해 4월 김수키(kimsuky)가 수행한 해킹 공격의 악성코드에서 발견된 이름과 일치하며, 2014년 한국 외교부 관련 스피어피싱 공격에 쓰인 ‘jhj135’, 즉 전혁직의 영문 이니셜인 ‘jhj’와 동일하다고 지적했습니다. (사진참고)

사진출처: 이스트시큐리티(ESTSecurity)

김수키는 2014년 한국수력원자력(한수원)을 해킹한 배후로 알려진 북한 해킹 조직입니다.

이에 따라 이번 사이버 공격을 감행한 배후도 북한 해커로 추정되고 있습니다.

이와 관련 이 업체의 문종현 이사는 28일 자유아시아방송(RFA)에 “특정 정부의 후원을 받는 것으로 추정되는 집단에 의한 사이버 보안 위협이 한국에서 지속적으로 식별되고 있다”며 “이 집단들이 가상화폐 정보 탈취 등 금전 수익형 외화벌이 조직으로 왕성하게 활동하고 있다”고 말했습니다.

한편, 유엔 안전보장이사회 대북제재위원회 전문가단의 휴 그리피스 조정관도 27일 미국 하원 청문회에서 ‘북한의 사이버 공격으로 국제 은행 시스템이 위험에 빠질수 있냐?’는 질문에 “그렇다”고 답하며 북한의 해킹 능력을 우려했습니다.

그리피스 조정관: 북한의 해킹은 은행 보안 시스템을 파괴시킬 정도로 정교하며, 전 세계의 현금인출기(ATM)에서 신속한 인출이 가능하도록 소수정예 해킹 요원 조직을 구성했습니다.

원본 사이트 보기