연결 가능 링크

“북한 해킹조직, 외화 탈취 위한 신종 랜섬웨어 4종 유포…금융 해킹 집중”


'해킹' 일러스트.

북한 정찰총국과 연계된 해킹조직이 외화 탈취를 위해 새로운 변이 랜섬웨어 4종을 아시아 지역에 유포한 정황이 포착됐다고 미국 사이버 보안업체가 밝혔습니다. 북한 정권 소속 해킹부대와 산하 조직들이 유기적으로 협력해 외화 탈취를 위한 암호화폐 해킹과 랜섬웨어 공격 등 금융 해킹에 주력하고 있다는 분석입니다. 조상진 기자가 보도합니다.

미 서부 캘리아포니아 주에 본부를 둔 사이버 보안업체 ‘트렐릭스’(Trellix)는 3일 보고서를 통해 북한 정찰총국 소속 해킹부대인 ‘180 부대’와 관련 있는 해킹조직이 새로운 형태의 변종 랜섬웨어 악성코드 4종을 유포했다고 밝혔습니다.

컴퓨터 시스템을 감염시켜 접근을 제한한 뒤 이를 해제하는 대가로 일종의 몸값을 요구하는 악성 해킹 수법인 랜섬웨어 공격을 통해 북한 당국이 외화 탈취에 나선 정황을 포착했다는 것입니다.

보고서는 이번에 새롭게 발견된 랜섬웨어에서 북한 정찰총국 소속 해킹부대인 180 부대의 라자루스가 개발한 VHD 랜섬웨어와 유사한 소스 코드가 발견되는 등 프로그램 설계가 동일한 정황이 다수 포착됐다고 설명했습니다.

또 랜섬웨어 해킹을 해제하는 대가로 금전을 요구하는 협박 메시지에 등장하는 이메일 주소가 서로 동일하고 과거 사용된 것과 유사성이 있는 등 북한 당국과의 연관성이 드러났다고 지적했습니다.

보고서를 작성한 트렐릭스의 크리스티안 비크 수석연구원 겸 수석 엔지니어는 4일 VOA에, 북한의 이번 랜섬웨어 해킹 공격에 금전 요구와 추적 회피 등 두 가지 요소가 포함돼 있었다고 설명했습니다.

그러면서 일본과 말레이시아 지역에서 일부 피해자들을 대상으로 해킹을 하고 금전을 요구한 뒤 정체를 숨기기 위해 흔적을 분산시키는 랜섬웨어 해킹을 통해 목표물을 까다롭게 선택하고 실제 돈을 탈취하려 했던 것으로 보인다고 분석했습니다.

이어 지난 수년 간 북한의 악성코드 유포를 추적·연구한 결과 북한이 암호화폐와 같은 큰 단위의 해킹과 랜섬웨어 같은 작은 단위의 해킹을 혼합해 외화 탈취에 집중하고 있는 것으로 파악된다고 밝혔습니다.

[녹취 : 비크 수석연구원] “Unit 180 is one of the examples that are directly working for the North Korean government, and there are, I would say, skills young people that are very good at hacking, but didn't make it to those government teams. They are still being sent out to the APAC region that has to bring home money for the kingdom, to finance for example, some of the programs in the defense strategy of the country itself. We have seen testimonies of those.”

“북한 정권을 위해 일하는 정찰총국 소속 ‘180 해킹부대’와 해킹에 매우 능숙하지만 그런 정부 조직에 들어가지 못하는 젊은 해커들을 규합한 연계 조직이 북한 정권의 국방 전략에 필요한 자금을 조달하기 위해 아시아·태평양 지역에 파견돼 랜섬웨어 공격을 수행하고 있다”는 지적입니다.

비크 수석연구원은 북한이 정권의 외화벌이를 위해 암호화폐 해킹 등 규모가 큰 해킹에 주력하고 있지만, 이번처럼 소규모 랜섬웨어 해킹에도 산하 또는 연계 조직을 활용하고 있다고
지적했습니다.

그러면서 북한이 이런 공격 시도를 통해 랜섬웨어 공격이 의미 있는 수익을 창출할 수 있는 가치 있는 방법인지를 알아보려는 것일 수 있다고 분석했습니다.

비크 수석연구원은 또 이번 보고서에서 북한 당국의 핵심 해킹부대로 언급된 ‘180 부대’를 최근 북한이 금융 분야 해킹 공격에 적극 나서고 있는 상황에서 크게 주목해야 할 조직으로 지목했습니다.

[녹취 : 비크 수석연구원] “One of the ministries they actually are like the big boss of Bureau 121, the one who's actually in charge of cyber operations. And below that structure, and subgroup, below Bureau 121 are different units and each of those units have a different mission. There are units that are looking into defectors and organizations in South Korea that are supporting defectors, right. There's a unit that is responsible for foreign intelligence. Unit 180 is what we believe as an industry responsible unit for attacking the financial systems.”

북한 당국의 사이버 작전을 총괄하는 정찰총국 소속 121국 산하에 여러 임무를 가진 사이버 부대가 활동하고 있으며, 특히 금융 시스템 해킹을 총괄하는 180부대의 역할이 최근 크게 늘어나고 있다는 지적입니다.

그러면서 북한의 최근 해킹 공격 양태와 180부대, 그 연계 조직의 활동을 보면 과거 정보나 첩보 분야에 주력했던 것과는 달리 다른 그 어떤 분야보다도 금융 해킹 분야에 집중하고 있는 것으로 보인다고 평가했습니다.

비크 수석연구원은 북한의 해킹 능력이 매우 빠르게 성장하고 있으며 취약점이 발견되면 즉시 새 기술을 적용하는데 매우 민첩하다면서 우려를 나타냈습니다.

[녹취 : 비크 수석연구원] “We've seen them adapting a lot and actually they're pretty fast. If something new comes out like the log for J vulnerability, or we saw some other critical vulnerabilities. They are really fast at adapting that new technique or a new thing. So from a skills level, it's difficult to compare them against a Chinese or Russian nation state actor because they have different visions, like one financial game perspective.”

비크 수석연구원은 그런 면에서 중국이나 러시아 등 다른 국가 주도 해킹 세력과의 수준 차이를 비교하는 것은 어렵다며, 중국과 러시아가 산업 스파이나 정보 분야 탈취에 앞서 있는 것과 같이 북한은 금융 분야 해킹에 초점을 맞추고 역량을 집중하는 등 해킹에 대한 다른 접근을 하고 있다고 평가했습니다.

북한은 앞서 2017년 ‘워너크라이 2.0’ 랜섬웨어 공격으로 미국과 아시아, 영국 등 150여개 국가의 항공, 철도 및 의료 네트워크를 마비시키고 복구 대가로 비트코인과 같은 암호화폐를 요구한 것으로 지목된 바 있습니다.

미 법무부는 지난해 2월 가상화폐 탈취 시도 등 사이버 범죄 공모에 가담한 혐의로 북한 해커 3명을 기소했고, 연방수사국 (FBI)과 재무부 등은 북한 해킹그룹 ‘라자루스’의 위협을 경고하는 부처 합동 주의보를 발령했습니다.

VOA 뉴스 조상진입니다.

XS
SM
MD
LG