북한 해킹조직인 라자루스가 가짜 암호화폐 거래 사이트를 개설해 해킹을 시도했다는 지적이 제기됐습니다. 가짜 사이트에 접근한 이용자들의 컴퓨터에 악성코드를 배포해 정보를 빼내려 한 것으로 알려졌습니다. 박형주 기자가 보도합니다.
이 보고서에 따르면 라자루스는 지난 6월 '블록스홀더(bloxholder)'라는 이름으로 자동 암호화폐 거래 사이트를 개설했습니다.
그러나 이 사이트는 기존의 합법적인 암호화폐 거래 사이트인 '하스온라인(HaasOnline)'을 사실상 그대로 복제한 가짜 사이트라고 보고서는 지적했습니다.
하스온라인과 메인 화면의 구성과 디자인이 매우 흡사했고, 사이트를 설명하는 문구도 단어 하나 다르지 않게 그대로 옮겼습니다.
또 제품과 서비스, 기술 등을 설명하는 세부항목 내용도 동일했습니다.
볼렉시티 측은 라자루스가 하스온라인 홈페이지를 약 95~98% 정도 복제한 것으로 파악된다고 VOA에 설명했습니다.
라자루스는 사용자들이 가짜 사이트에서 프로그램이나 문서 등을 다운받을 때 악성코드 '애플제우스(Applejeus)'를 배포해 해킹을 시도했습니다.
사용자들이 사이트의 프로그램이나 요금 등을 안내한 MS 워드 파일 형식의 문서를 내려 받을 때 악성코드도 함께 다운로드 돼 사용자의 컴퓨터를 감염시키는 수법입니다.
라자루스는 이렇게 감염된 컴퓨터에 침투해 정보를 수집하고 해킹에 악용하려 한 것으로 알려졌습니다.
볼렉시티의 스티븐 아데어 대표는 7일 VOA와의 전화통화에서, 이번에 포착된 악성코드 애플제우스는 오직 라자루스만이 사용해온 악성코드라고 설명했습니다.
[녹취: 스티븐 아데어 대표] "The big item would be the Applejeus, malware that it's called, basically, exclusively by Lazarus. Cyber espionage or trying to steal data, documents emails, so obviously, this financially themed oriented type attacks, which obviously have been in the news quite a bit over the years"
또 금전적 이익을 얻기 위한 목적으로 문서와 자료, 이메일 등을 해킹하고 암호화폐 이용자를 표적 삼은 것도 전형적인 라자루스의 행태라고 설명했습니다.
다만 이번 해킹 시도를 통한 실질적인 피해 여부와 규모는 자체적으로 확인할 수 없다고 볼렉시티 측은 말했습니다.
앞서 미국 국토안보부 산하 사이버안보∙기간시설안보국(CISA)과 연방수사국(FBI)은 지난해 2월 애플제우스에 대한 합동 주의보를 발표한 바 있습니다.
당시 미국 정부는 애플제우스는 북한이 개발한 악성코드로 가상화폐 거래소와 금융서비스 업체들을 겨냥한 해킹 활동에 사용되고 있다고 지적했습니다.
라자루스가 개설한 것으로 지목된 블록스홀더 사이트는 7일 현재 여전히 접근이 가능한 상황입니다.
FBI는 이와 관련한 VOA의 문의에 7일 오후 5시 현재 답하지 않았습니다.
VOA 뉴스 박형주입니다.
