북 해킹조직, 암호화폐 사이트 복제해 해킹 시도

앵커: 북한의 해킹조직이 가짜 암호화폐 거래 사이트와 앱(어플:응용 프로그램)을 유포해 해킹을 시도한 정황이 나타났습니다. 자세한 내용 자민 앤더슨 기자가 보도합니다.

미국의 사이버 보안 업체 ‘볼렉시티(Volexity)’가 지난 1일 홈페이지에 공개한 보고서를 통해 북한의 해킹조직 라자루스가 가짜 사이트와 앱으로 암호화폐 사용자를 유인해 해킹을 시도하고 있다고 밝혔습니다.

볼렉시티에 따르면 라자루스는 지난 6월 ‘블록스홀더(BloxHolder[.]com)’라는 인터넷 사이트 주소를 등록하고 가짜 암호화폐 거래 사이트를 개설했습니다.

블록스홀더는 이미 존재하는 자동 암호화폐 거래 사이트, ‘하스 온라인(HaasOnline[.]com)’을 그대로 복제해 만든 사이트입니다.

자유아시아방송(RFA)이 5일 오후 확인한 결과, 라자루스가 만든 가짜 사이트 블록스홀더는 여전히 접속이 가능합니다.

첫 화면부터 제품 설명 화면, 가격 비교 화면, 기술 설명 화면까지 모두 하스온라인 사이트를 그대로 복사해 붙여넣은 듯 동일합니다.

다만 회사를 소개하는 화면(About Us)의 경우, 다른 내용은 다 같지만 하스 온라인 소속의 전문가들에 대한 설명은 빠졌습니다.

보고서는 라자루스가 유저들에게 블록스홀더 어플로 가장한 윈도우 설치 프로그램을 다운받도록 했는데, 이를 통해 악성코드 ‘애플제우스(AppleJeus)’를 배포했다고 밝혔습니다.

애플제우스는 라자루스가 암호화폐 거래소를 겨냥해 2018년부터 사용해 온 악성코드로, 2021년 2월 미국 사이버안보 기반시설 안보국(CISA)과 연방수사국(FBI), 그리고 미 재무부는 1년 간 라자루스가 미국, 한국 등 전 세계 30개 이상 국가에서 애플제우스를 사용해 사이버 공격을 감행했다며 ‘애플제우스 합동경보’를 발령하기도 했습니다.  

볼렉시티에 따르면 라자루스는 지난 10월, ‘OKX 바이낸스 & 후오비 VIP 요금비교’라는 이름의 마이크로소프트 오피스 엑셀 문서에 악성코드를 심어 배포했습니다.

보고서는 피해자가 블록스홀더 어플로 가장한 프로그램 또는 요금비교 문서를 다운 받으면 컴퓨터에 악성코드 애플제우스가 감염되고, 그 즉시 애플제우스는 컴퓨터의 맥 (MAC)주소, 컴퓨터 이름 및 운영체제 버전 등의 정보를 수집해 해킹에 악용한다고 설명했습니다.

그러나 보고서는 이번 해킹의 피해 현황에 대해서는 공개하지 않았습니다.

볼렉시티는 라자루스 그룹에 대해, 그들의 사이버 공격 행위가 많은 주목을 받고 있음에도 계속해서 암호화폐 사용자들을 대상으로 공격을 해오고 있다고 지적했습니다.

또한 라자루스는 보안 프로그램에 감지되지 않는 해킹 기술을 지속적으로 개발하며, 알려지지 않은 새로운 해킹 방법들을 시도하고 있다고 경고했습니다.

한편 미 국무부는 지난 7월 라자루스를 포함한 킴수키, 블루노로프 등 북한 정부와 연계된 해킹조직이나 개인 해커에 관한 정보 제공자에게 천만 달러라는 거액의 포상금을 내걸었습니다.

이런 가운데 라자루스의 홈페이지 복제에 악용된 자동암호화폐 거래 사이트, 하스 온라인 측은 이 사안에 대한 자유아시아방송(RFA)의 질의에 5일 오후까지 답변하지 않았습니다.

기자 자민 앤더슨, 에디터 양성원, 웹팀 이경하