북한 연계 해킹 조직이 전 세계 수억 명이 매일 사용하는 소프트웨어에 악성코드를 심어 미국 기업들의 가상화폐를 탈취하려는 대규모 공급망 공격을 감행했으며, 그 피해 범위가 수개월에 걸쳐 드러날 것이라고 미국의 사이버보안 기업들이 밝혔습니다.
구글 위협정보그룹(GTIG)과 보안업체 센티넬원, 스텝시큐리티, 소켓 등 복수의 사이버 보안 연구기관은 31일 북한과 연계된 것으로 추정되는 해커들이 이날 3시간 동안 오픈소스 스프트웨어인 ‘악시오스(Axios)’를 관리하는 소프트웨어 개발자의 계정에 접근했다고 밝혔습니다.
악시오스는 웹사이트를 열거나 앱을 실행할 때마다 백그라운드에서 작동하는 소프트웨어로 주간 다운로드 수가 1억 건에 달하며 금융, 의료, 기술 등 사실상 모든 산업 분야의 기업들이 사용하는 소프트웨어로, 이 하나의 소프트웨어가 감염되면 수십만 개 조직이 동시에 피해를 입을 수 있습니다.
이와 관련해 구글 GTIG는 보고서를 통해 이번 공격 주체를 자사가 'UNC1069'로 추적하는 북한 연계 조직으로 특정했으며, 이전 북한 공격에서 사용된 ‘웨이브셰이퍼(WAVESHAPER)' 악성코드와 동일한 수법이 사용됐다는 점을 근거로 제시했습니다.
또 “북한이 이번 공급망 공격을 통해 확보한 접속 정보와 시스템 접근 권한을 활용해 기업들의 가상화폐를 표적으로 삼아 탈취하려 할 것으로 예상한다"며 "이번 캠페인의 파급 영향을 평가하는 데 수개월이 걸릴 수 있다"고 경고했습니다.
스텝시큐리티도 자체 분석 보고서를 통해 이번 공격을 북한 해커 소행으로 추정하면서 “역사상 가장 정교한 공급망 공격"이라고 우려했습니다.
북한이 이처럼 가상화폐 업계를 집중 공략하는 배경에 대해 구글 클라우드의 제이미 콜리어 수석 위협 정보 고문은 앞서 VOA와의 인터뷰에서 "막대한 자금이 유통되고 익명성과 자금세탁 인프라가 갖춰진 데다 보안 의식이 부족한 스타트업이 많아 편리한 표적이 되고 있으며, 이를 통해 얻은 수익은 북한 정권을 유지하는 데 사용되고 있다."고 지적한 바 있습니다.
악성 버전은 약 3시간 동안 배포된 뒤 삭제됐지만 그 짧은 시간 동안 수만 개 조직이 악성코드를 내려받았을 가능성이 있습니다.
미국 정부에 따르면 북한은 이렇게 탈취한 가상화폐를 핵·미사일 개발 자금으로 활용하고 있으며, 지난해에는 단 한 번의 공격으로 15억 달러를 탈취해 역대 최대 가상화폐 해킹 기록을 세운 바 있습니다.
VOA 뉴스
Forum