[아이뉴스24 김국배 기자] 미국이 북한 해킹 조직인 '라자루스'를 제재한 가운데 국내에서는 최근까지도 이들의 공격이 이어지고 있는 것으로 나타났다. 비트코인 등 암호화폐 거래자들이 집중 타깃이 되고 있다는 분석이 나온다.
16일 국내 보안업체 이스트시큐리티에 따르면 지난 6월부터 최근까지 몇 개월간 라자루스의 소행으로 보이는 해킹 시도가 지속적으로 발견됐다.
가장 최근인 지난달 23일에는 국내 특정 암호화폐거래소 가입회원 일부에게 '스피어 피싱' 이메일을 보낸 정황이 포착됐다.
해당 메일에는 '100년 이후 100년의 꿈 인삿말'이라는 제목의 한글(hwp) 파일이 첨부돼 있다. 이 악성 파일은 공격 3일 전인 20일 제작된 것으로 분석된다.
또 같은달 공문서(재산취득 자금출처에 대한 소명자료제출)로 위장된 한글 파일에 악성코드를 숨겨 이메일로 유포했으며, 지난 7월에는 동일한 논문 내용을 담은 3종의 악성 파일이 뿌려졌다. 국내 문서보안업체의 디지털 서명까지 악용한 악성코드를 유포하기도 했다. 이 사건은 한국인터넷진흥원(KISA)에서 여전히 조사중이다.
앞서 6월에는 암호화폐 투자계약서, 외주직원 신상명세서, 시스템포팅 계약서 등을 가장해 악성 파일 공격을 수행하기도 했다.
문종현 이스트시큐리티 시큐리티대응센터장은 "한동안 잠잠하던 라자루스 활동이 6월부터 다시 증가하기 시작했다"며 "(다른 북한 해커조직인) 김수키, 금성121 등의 공격도 꾸준한데, 최근엔 모두 비트코인 거래자를 노리는 게 공통점"이라고 말했다.
북한 해킹 조직들이 첩보 활동은 물론 이 같은 암호화폐을 통해 금전적 이득을 보는데 주력하고 있다는 뜻이다. 가격상승 기대감, 익명성에 따른 추적의 어려움 때문에 암호화폐를 획득하려는 공격이 지속적으로 이어지는 것으로 보안업계는 분석한다.
미국 재무부는 지난 13일(현지시간) 이중 라자루스와 그 하위 그룹인 블루노로프, 안다리엘 3개 조직을 제재 명단에 올리기도 했다. 워너크라이 랜섬웨어, 방글라데시 중앙은행 해킹 등에 연루된 혐의다. 이번 제재를 두고 미국이 북미 실무협상을 앞두고 유리한 고지를 점하려는 것 아니냐는 해석도 나온다.
이를 떠나 국내 보안업계에서는 김수키와 코니 조직 간 연관성 등 북한 해킹 조직에 관한 다양한 분석을 내놓고 있다.
안랩은 지난 2일 암호화폐 거래소와 이용자를 노리는 특정 조직을 추적한 내용을 담은 '오퍼레이션 머니홀릭' 보고서를 공개하며 김수키 조직과 관련된 정황을 포착했다고 밝혔다. 감염PC에서 김수키 그룹이 사용해온 것과 동일한 '키로거'가 발견된 점 등이 근거다.
안랩이 직접 언급하진 않았지만 '코니'라는 이름으로 알려진 이 조직은 또 다른 북한 해킹 조직으로 의심되고 있다. 특히 지난해 2월부터 현재까지 악성코드 제작, 유포 방식을 다양하게 변화시키며 공격을 전개하고 있다.
일각에서는 라자루스의 배후로 의심받는 북한 정찰총국 뿐 아니라 국가보위성(국정원 격)을 새로운 배후로 의심하는 목소리도 나온다.
문 센터장은 "금성121, 김수키는 국가보위성이 배후로 의심받고 있다"며 "주로 국가보위성이 담당하는 탈북, 대북 단체를 공격하고 있기 때문"이라고 말했다.
실제로 금성121 조직의 경우 지난해 '남북이사가족찾기 전수조사' 내용을 가장한 데 이어 지난 4월에는 통일부의 해명 보도자료처럼 꾸며 스피어 피싱 공격을 한 바 있다.
김국배 기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기