북한 해킹조직이 지난 1년간 암호화폐 취득을 위해 소규모 사업체를 겨냥한 랜섬웨어 공격을 했다고 마이크로소프트가 밝혔습니다. 특히 이 조직이 개인의 금전적 이익을 위해 활동한 것으로 보인다고 분석했습니다. 박형주 기자가 보도합니다.
세계적 IT 기업인 미국의 마이크로소프트(MS)가 북한 해킹 조직이 최근 1년간 주로 소규모 사업체를 겨냥한 랜섬웨어 공격을 벌였다고 지적했습니다.
마이크로소프트의 위협정보센터(MTIC)는 14일 자사 블로그에 게시한 보고서에서 ‘홀리고스트(H0lyGh0st)’라는 이름으로 활동하는 해킹 조직이 북한과 연관됐다며 이같이 밝혔습니다.
MS 측에 따르면 이 조직은 지난해 6월부터 조직 이름과 같은 ‘홀리고스트’라는 랜섬웨어를 개발한 뒤 공격에 나섰고, 지난 9월 이후 여러 나라에 걸쳐 업체 시스템에 손상을 입혔습니다.
이들은 주로 소규모 사업체를 표적 삼았습니다.
은행, 학교, 제조업체, 행사기획업체 등이 피해자에 포함됐다고 MS 측은 밝혔습니다.
이들의 전형적인 수법은 표적의 장비에 침투해 파일을 암호화한 뒤 피해자 이메일로 일부 파일을 전송하고 암호 해제를 조건으로 가상화폐 일종인 비트코인을 요구하는 것입니다.
피해자가 대가 지불을 거부하면 자료를 피해자의 고객들에게 보내거나 소셜미디어에 올리겠다는 협박도 일삼았습니다.
협박 이메일에는 자신들과 연락을 취할 수 있는 방법과 함께 ‘홀리고스트’ 소개 사이트로 연결되는 링크도 공유했습니다.
여기에서 자신들의 활동 목적이 “빈부 격차를 줄이고, 가난한 이들을 도우며, 피해자의 보안 상태를 알려줌으로써 보안인식을 높이는 것”이라고 주장했습니다.
현재 이 사이트는 접속되지 않고 있다고 MS는 설명했습니다.
MS는 ‘홀리고스트’가 북한 해킹조직 ‘다크서울(DarkSeoul)이나 ‘안다리엘(Andariel)’로 알려진 ‘플루토늄(PLUTONIUM)’과 연관된 것으로 파악했습니다.
‘안다리엘’ 등은 북한 정찰총국의 지시를 받는 ‘라자루스’의 산하 혹은 협력 조직인 것으로 알려졌습니다.
라자루스와 안다리엘은 지난 2019년 9월 미 재무부의 특별 제재 대상(SDN)으로 지정됐습니다.
MS 측은 홀리고스트와 플루토늄의 이메일로 알려진 계정 간의 교신을 파악했다며, 홀리고스트가 플루토늄이 독자적으로 개발한 도구(tools)를 활용했으며, 이들이 같은 기반시설을 사용했다고 분석했습니다.
또 홀리고스트의 주요 활동 시간이 북한 시간대(UTC+9)와 상당히 일치했다고 설명했습니다.
다만 이들이 북한 정부의 지시에 따라 활동하는 것은 아닌 것으로 추정한다고 MS 측은 분석했습니다.
통상적으로 국가 연계 해킹조직은 피해 대상 규모와 범위가 크지만, 이들은 피해자들에게 비교적 적은 금액인 1.2~5 비트코인(최고가 교환액으로 약 10만 달러)을 요구했다는 것입니다.
또 피해자들의 협상에 잘 응하면서 처음 제시한 금액의 1/3 수준으로 낮춰주는 경우도 있었다고 설명했습니다.
MS는 이런 정황으로 미뤄 ‘플루토늄’ 등과 같은 해킹조직과 관계가 있는 개인들이 자신들의 금전적 이익을 위해 랜섬웨어 공격을 했을 것으로 판단했습니다.
이와 관련해 미국 안보 분야 민간연구소인 발렌스 글로벌의 매튜 하 연구원도 15일 VOA와 전화통화에서 홀리고스트가 북한과 관계가 있다는 MS 측의 분석에 신빙성이 있다고 평가했습니다.
[녹취: 매튜 하 연구원] “believe has a degree of plausibility for several reasons considering that there was evidence of email communication between these alleged hackers as well as with the very well-known North Korean hacking groups such as Lazarus and Andariel, but also at the same time the motive behind the attack Being a financially motivated attack…but I do believe that while we can link these attacks back to North Korea, this argument that this may be possibly an individually motivated attack rather than a state sponsored operation…”
이 조직이 안다리엘 등 잘 알려진 북한 연계 해킹조직과 이메일을 교신했고, 다른 북한 해킹조직처럼 금전적 활동에 집중했다는 것입니다.
하 연구원은 다만 이 조직이 북한 당국의 지시보다는 개별적으로 활동한다고 판단하려면 추가 증거가 필요해 보인다고 말했습니다.
특히 지난 2017년 북한 당국이 연루된 세계 최대 규모의 랜섬웨어 공격인 ‘워너크라이’ 때도 북한 해커들이 각각 요구한 대가는 300달러 수준으로 소액이었다며, 요구 금액을 근거로 북한 당국과의 연관성 여부를 판단하는 것은 무리가 있다고 주장했습니다.
하 연구원은 그러면서도 북한 정권이 최근 1~2년간 암호화폐 시장 폭락의 여파로 기존의 주요 표적이었던 암호화폐 거래소뿐 아니라 소규모 사업체 등으로 표적을 더욱 다양화할 가능성은 염두에 둘 필요가 있다고 덧붙였습니다.
VOA 뉴스 박형주입니다.
![[인터뷰: 제프 화이트 ‘라자루스 탈취 사건’ 저자] “북 해커들, 조직 범죄자들과 연계…최종 목적지는 무기 프로그램”](https://gdb.voanews.com/10050000-0aff-0242-0458-08da58973526_w100_r1.jpg)
![[인터뷰: 제프 화이트 ‘라자루스 탈취 사건’ 저자] “북 해커들, 조직 범죄자들과 연계…최종 목적지는 무기 프로그램”](https://gdb.voanews.com/10050000-0aff-0242-0458-08da58973526_w33_r1.jpg)
