사이버 공격 일러스트.
사이버 공격 일러스트.

북한 해킹조직 라자루스의 소행으로 추정되는 암호화폐 관련 악성 프로그램 공격이 또다시 탐지된 것으로 알려졌습니다. 전문가들은 지난달 북한의 소행으로 추정된 애플 운영체제 공격과 뚜렷한 공통점이 드러났다고 밝혔습니다. 조상진 기자가 보도합니다.

정보통신 보안전문 매체 ‘블리핑 컴퓨터’는 4일, 북한 정보기관이 배후에 있는 것으로 알려진 해킹 조직 라자루스의 소행으로 의심되는 악성코드가 애플의 컴퓨터 운영체제를 공격한 정황이 포착됐다고 보도했습니다.

악성 코드는 ‘유니언 크립토 트래이더’라는 이름으로 ‘유니언크립토.vip(unioncrypto.vip)’라는 가짜 사이트에 설치돼 있었습니다.

이 사이트는 차별화된 암호화폐 차익 거래 서비스를 제공한다는 홍보 문구로 투자자들을 유도했으며, 이용자가 악성코드 패키지를 열면 악성 코드가 유포되는 방식인 것으로 알려졌습니다.

이 프로그램을 발견한 악성 소프트웨어 전문가 디네쉬 데바도스 연구원은 “이번 악성코드는 사용되는 실제 데이터, ‘페이로드’를 메모리 내부가 아닌 원격으로 활성화시킨다는 점이 특징”이라고 말했습니다. 악성코드가 원격으로 활성화 될 경우 범죄 혐의를 밝히는 데 필요한 포렌식 분석을 통한 조사와 추적이 어렵기 때문입니다.

데바도스 연구원은 이런 수법이 마이크로소프트 윈도우 컴퓨터 운영체제에서는 종종 발견됐지만 애플 컴퓨터 운영체제인 MacOS에서는 처음 발견됐다면서, 애플 사용자의 암호화폐 탈취를 목적으로 공격에 나선 것으로 보인다고 밝혔습니다.

그러면서 “지난달 가짜 암호화폐 사이트에서 MacOS용 악성코드를 유포한 것으로 추정됐던 북한 해킹조직 라자루스의 수법과 매우 유사하다”고 밝혀 북한과의 연계 가능성을 제기했습니다.

지난달 북한 라자루스 추정 애플 운영체제 공격 정황을 공개한 시스템 보안 담당업체 잼프(Jamf)의 패트릭 워들 보안담당 책임연구원은 VOA에, 이번 공격도 지난달 공격과 매우 뚜렷한 공통점이 있다며, 북한의 소행을 의심하지 않는다고 말했습니다.

[녹취: 워들 연구원] “We get into the malware and we look at how it's created how it's written. There's a lot of characteristics that very clearly illustrate that this new piece of malware was almost without a doubt written by the same authors of that previous attack, had the same characteristic the same markers, and a lot of code overlap. So, to me, reverse engineering both samples, it's very clear that they are related so I'm very confident to say this is definitely the work of the Lazarus APT group.”

악성코드를 분석한 결과 지난달 북한 추정 악성코드 공격과 형태가 같았고, 같은 식별 표식, 운용 코드를 발견할 수 있었다는 설명입니다.

워들 연구원은 북한 추정 해킹조직이 애플 운영체제를 계속 목표로 삼는 것은 공격 활로를 넓히고 새로운 대안을 찾기 위한 것으로 보인다고 분석했습니다.

[녹취: 워들 연구원] “That's a little bit unfortunate, because then users of MacOS may be overconfident about the security of their systems, and they may actually then victim to more attacks, because they basically think their computers are not hackable.”

개방형 운영체제로 해킹 시도와 그에 대한 보안 대응이 비교적 잘 돼 있는 윈도우 대신, 폐쇄형으로 해킹이 어려운 것으로 알려진MacOS를 목표로 해 사람들의 낮은 경계심을 역이용하려 한다는 것입니다.

워들 연구원은 이번 악성코드는 컴퓨터에 침입하면 원격으로 조종돼 해커들에게 완벽한 통제권을 부여한다면서, 암호화폐 자체뿐 아니라 암호화폐와 관련된 자료와 정보도 함께 탈취될 가능성이 매우 높다고 지적했습니다.

그러면서 지난 2017년과 2018년 총 5억 7100만 달러어치 암호화폐를 탈취한 혐의로 지난 9월 미국 정부에 의해 제재 대상으로 지정된 북한 라자루스의 암호화폐 해킹 시도가 더욱 활발해질 가능성이 크다고 말했습니다.

VOA 뉴스 조상진 입니다.

독자 제보: VOA는 독자 여러분의 제보를 기다리고 있습니다. 기사화를 원하는 내용을 연락처와 함께 Koreanewsdesk@voanews.com 이메일로 보내주시면 뉴스 제작에 적극 반영하겠습니다. 제공하신 정보는 취재를 위해서만 사용되며, 제보자의 신분은 철저히 보호됩니다.