“北해커, 비트코인 가격 폭등에 전방위적 사이버 공격”

암호화폐
북한으로 추정되는 해커가 암호화폐를 노리고 악성코드를 유포한 것으로 나타났다. /사진=pixabay

대표적인 암호화폐인 비트코인 가격 폭등에 북한 해커들이 이를 노린 전방위적인 사이버 공격을 감행한 것으로 전해졌다.

이스트시큐리티 시큐리티대응센터(ESRC)는 27일 “암호화폐 ELYSIA 토큰 세일 이벤트 당첨자 안내로 위장한 APT(지능형지속위협) 공격이 포착됐다”며 “이번 공격의 배후에는 ‘김수키(Kimsuky)’ 조직이 있다”고 밝혔다.

‘김수키’는 지난 2014년 한국수력원자력을 공격한 해커조직으로 당시 정부합동수사본부는 이 조직의 배후로 북한을 지목했었다.

ESRC는 “이번에 발견된 공격은 암호화폐 이벤트 당첨자 안내로 사칭, 악성 HWP 문서가 활용됐다”며 “이는 지난달 28일 발생했던 한국 유명 암호화폐 거래소 이벤트 경품 수령 안내와 동일한 방식이다”고 말했다.(▶관련기사 : 북한 추정 해커, 이번엔 ‘네이버 클라우드’ 이용 피싱 공격)

‘김수키’는 지난달에도 암호화폐를 매개로 한 사이버 공격을 진행한 바 있다. 연초 400만 원이던 비트코인 가격이 최근 1500만원을 넘어서는 등 가격이 폭등하자 북한 해커들이 암호화폐를 집중적으로 노리고 사이버 공격을 진행하는 것으로 보인다.

김수키가 스피어 피싱 공격에 사용한 이메일 화면, 첨부파일은 악성 파일이다. / 사진=이스트시큐리티 제공

실제, 북한의 다른 해커조직인 라자루스(Lazarus)도 최근 암호화폐를 노리고 공격을 시도한 것으로 나타났다.

ESRC는 “지난 10일 발견한 ‘진실겜.xls’이라는 악성 문서 파일을 조사한 결과 배후에 라자루스가 있는 것으로 확인됐다”며 “해당 파일은 암호화폐와 관련된 사용자에게 텔레그램 메신저로 유포된 정황이 있다”고 밝혔다.

라자루스는 지난 2014년 미국 소니픽쳐스, 2015년 방글라데시 중앙은행 등을 해킹한 북한의 대표적인 해커조직이다.

라자루스는 지난 20일에도 암호화폐 투자계약서를 사칭해 스피어 피싱(Spear Phishing) 공격을 진행한 바 있어 최근 북한 해커들의 주요 공격대상이 암호화폐라는 점에 무게가 실리고 있다.(▶관련기사 : 북중 회담일 北 해커그룹 라자루스 활동 재개… “외화벌이 목적”)

ESRC는 “연관성이 높은 기존 공격도 암호화폐 관련자에게 유포됐던 이력이 있다”며 “공격자가 사용하는 악성파일의 특징이나 공격의 유사성으로 보아, 이는 특정 APT 공격조직이 목적을 가지고 불특정 다수가 아닌 명확한 대상을 타깃으로 한 공격일 가능성이 높아 보인다”고 설명했다.

이는 북한 해커들이 외화 획득을 목적으로 암호화폐 소유자들을 대상으로 공격을 시도 중이라는 것이다.

최근 몇 년 동안 북한은 거래내역을 숨기거나 자금 세탁이 용이한 암호화폐를 탈취해 외화벌이를 해왔다. 이로 인해 전세계적으로 천문학적인 금전적 피해가 발생하고 있다.

유엔은 지난 3월 보고서를 통해 북한이 해킹부대 ‘라자루스’를 운영하며 2017년 2월부터 지난해 9월까지 한국과 일본을 중심으로 암호화폐 거래소 14곳을 공격했으며 피해액은 5억 7100만 달러(한화 약 6492억 2700만 원)에 달한다고 밝힌 바 있다.

북한 해커조직 라자루스가 유포한 악성 파일 화면. / 사진=이스트시큐리티 제공

한편, 암호화폐를 노린 사이버공격이 기승을 부리고 있는 만큼 관련자들의 각별한 주의가 요구된다.

ESRC는 “악성파일은 C&C(명령제어서버)와 통신이 가능했고 추가적인 악성 파일도 모니터링되었기 때문에 추가적인 피해가 발생할 수 있다”며 “이메일 혹은 메신저에서 직접적으로 파일을 전송받으면 실행하지 말고, 최소한 백신으로 정밀검사를 해 감염을 예방해야 한다”고 주의를 당부했다.

소셜공유