북한 해킹조직, '암호화폐 회사' 위장해 애플 운영체계 공격

지난달 미 재무부에 의해 제재 대상에 오른 북한 해킹조직 라자루스가 암호화폐 회사로 위장한 가짜 앱을 통해 미국 애플사의 핵심 운영체계를 공격한 정황이 포착됐습니다. 조상진 기자가 보도합니다.

미국의 컴퓨터와 휴대전화 제조 기업인 애플사의 시스템 보안 담당업체 잼프(Jamf)가 북한 ‘라자루스’로 의심되는 해킹조직이 악성코드를 심은 애플리케이션을 암호화폐 회사로 위장해 유포한 정황을 포착했다고 밝혔습니다.

잼프가 공개한 보고서에 따르면 북한은 JMT 트레이딩이라는 가상 암호화폐 거래 회사를 만들고, 같은 이름의 가짜 앱을 소프트웨어 공유사이트 깃허브(Github)에 올리거나 개인 거래자들에게 발송해 사용을 유도했습니다.

사용자가 이 앱을 내려받으면 해커가 애플 맥의 운영체계에 침투해 사용자의 컴퓨터를 원격으로 조종할 수 있게 설계됐다고 보고서는 밝혔습니다.

잼프의 패트릭 워들 보안 담당 책임연구원은 VOA에, 이번 해킹 공격의 최종 목적은 암호화폐에 관한 정보를 탈취하기 위한 것임을 확인했다고 말했습니다.

[녹취: 워들 연구원] “So what the attackers did was first create a fake cryptocurrency trading company with, you know, a fake website made it look fully legitimate. Then what they would do is they would reach out to users or administrators of cryptocurrency exchanges, basically say, hey please do test out our new cryptocurrency trading application, and would give them a link to the application.”

합법적으로 보이는 가짜 암호화폐 거래 회사를 만들고, 암호화폐 환전소를 이용하는 고객이나 관리자에게 거래를 유도해 사용자들의 암호화폐와 관련 정보를 빼돌리려 했다는 것입니다.

워들 연구원은 이번 공격이 과거 북한 해킹조직의 행적과 매우 유사하다고 지적했습니다.

보안업체들이 축적해온 수 년 간의 자료들을 분석한 결과 북한의 과거 공격 패턴과 소스 코드들이 이번 공격에도 공통적으로 나타났다는 것입니다.

[녹취: 워들 연구원] “I'm without a doubt hundred percent confidence that his attack was linked to the Lazarus group. We see a ton of overlaps that make this attack. Essentially identical to this, some commonalities includes the same attack mechanism. They again had set up another state, but very legitimate looking cryptocurrency company would use a similar tactic to spread that piece of malware”

워들 연구원은 이번 공격이 애플의 운영체계를 해킹하려 한 점에 주목했습니다.

그러면서, 개방형 운영체계인 윈도우와 달리 애플 운영체계는 폐쇄형이라 해킹이 어려운 것으로 알려져 사용자들의 경계심이 낮다는 점을 북한이 역이용할 수 있다고 우려했습니다.

[녹취: 워들 연구원] “I think it's actually important for Mac users to realize that they are targets, often indiscriminately or randomly but there are large number of numbers of cyber criminals hackers and yes, even some APT groups that are trying to basically target Mac users.”

워들 연구원은 이번 공격이 암호화폐 탈취를 목표로 한 전형적인 북한의 해킹 공격이지만, 전 세계 수많은 사람들이 이용하는 애플 제품의 운영체계도 해킹이 될 수 있다는 우려를 제기했다고 주장했습니다.

민주주의수호재단의 매튜 하 연구원은 이번 해킹 공격은 미 재무부의 라자루스 제재에도 불구하고 북한의 악성 사이버활동이 여전히 기승을 부리고 있음을 보여준다고 말했습니다.

[녹취 : 매튜 하 연구원] “Lazarus still remains quite active I mean this group, this MacBook incident has been attributed to Lazarus group. And I think still, it's a name that we use, but it's still very amorphous who actually is this group as a part of the reconnaissance job Bureau.”

미국이 제재 대상으로 지정한 라자루스에 대한 정보가 거의 없다는 점과 라자루스, APT38, 히든 코브라 등 수많은 이름으로 불리는 모호한 북한 해킹조직의 특성상 활동을 막기 어려운 점이 있다는 지적입니다.

전문가들은 이번 사례는 북한이 애플 운영체계를 해킹할 수 있음을 처음으로 보여줬다며, 각국 정부와 업계는 더욱 정교한 북한의 공격으로부터 소비자를 보호하기 위한 대책을 마련해야 한다고 밝혔습니다.

VOA 뉴스 조상진 입니다.