북한 연계 해킹 조직이 가짜 채용 제안으로 웹 개발자들을 유인해 악성코드를 심는 방식으로 올해 1분기에만 1천200만 달러 이상의 가상화폐를 탈취했다고 미국 사이버 보안업체 익스펠(Expel)이 밝혔습니다.
익스펠은 최근 공개한 보고서에서 '헥사고날로던트(HexagonalRodent)'로 명명한 이 조직이 북한 국가 지원 해킹 조직인 '페이머스 천리마(Famous Chollima)'와 연계돼 있다고 밝혔습니다.
보고서에 따르면 이 조직은 비버테일(BeaverTail), 오터쿠키(OtterCookie), 인비저블페럿(InvisibleFerret) 등 다양한 악성코드를 활용해 2천726개의 감염된 시스템에서 2만6천584개의 가상화폐 지갑을 탈취했습니다.
특히 이들 북한 연계 해킹 조직은 링크드인에서 가짜 기업을 사칭해 웹3 개발자들에게 고액 연봉의 채용 제안을 보냈으며, 심지어 멕시코에 실제 유령 법인을 등록해 구직자들을 속이기도 하는 등 정교한 사회공학적 해킹 기술을 활용했다고 지적했습니다.
아울러 공격자들이 생성형 인공지능(AI)을 활용해 악성코드를 정교하게 다듬고 가짜 기업과 링크드인 계정을 만들었으며, 피해자들은 채용 과정에서 악성코드가 심긴 코딩 평가 도구를 내려받도록 유도됐다고 덧붙였습니다.
익스펠 연구팀은 특히 북한 해킹 조직의 내부 관리 패널에 접근해 조직 구조도 파악했다면서, 내부 문서에 따르면 헥사고날로던트는 6개 팀으로 나뉜 31명의 해커로 구성돼 있으며, 일부 전 조직원들이 분리돼 독자적인 활동을 벌이고 있는 정황도 확인됐다고 전했습니다.
보고서는 북한의 이러한 공격 배경에 대해 "지난 4년간 기술 업계에서 대규모 정리해고가 이어졌고, 이로 인해 북한의 IT 위장취업 사기 수법이 타격을 받으면서 다른 수익 창출 방법으로 자원을 재배분해야 했을 것"이라고 분석했습니다.
이번 보고서는 북한의 가상화폐 탈취 전략이 대형 거래소를 겨냥한 수억 달러 규모의 공격뿐 아니라 일반 개발자들로부터 소액을 탈취하는 분산형 공격으로도 확장되고 있음을 보여줍니다.
미국 정부에 따르면 북한은 이렇게 탈취한 가상화폐를 핵·미사일 개발 자금으로 활용하고 있습니다.
앞서 마이크로소프트는 지난주 애플의 매킨토시 컴퓨터 운영 체계인 맥OS를 표적으로 한 북한의 가상화폐 탈취 캠페인을 공개했으며, 또 다른 보안업체도 이번 주 가짜 화상회의를 이용한 북한의 맥OS 공격 캠페인을 확인했습니다.
VOA 뉴스
Forum