북한 해킹조직 라자루스가 암호화폐 탈취에 주력하고 있는 것으로 전해졌다. 대북제재와 신종 코로나바이러스 감염증(코로나19) 사태 장기화로 인한 경제적 어려움을 극복하기 위한 시도로 풀이된다.
이스트시큐리티는 27일 “특정 정부 후원을 받는 것으로 추정되는 APT(지능형 지속 위협) 공격 그룹 ‘라자루스(Lazarus)’의 국내외 활동이 활발히 진행되고 있다”며 주의를 당부했다.
라자루스는 지난 2014년 소니픽처스, 2016년 방글라데시 중앙은행을 공격한 북한의 대표적인 해킹조직이다.
이스트시큐리티대응센터(ESRC)는 이번 공격이 주로 비트코인 등 암호화폐를 거래했거나 관련 분야 종사자가 공격 표적이라며 금전적인 피해로 이어질 위험성이 있다고 경고했다.
ESRC는 “라자루스 조직은 한국뿐만 아니라 미국 등 국제사회에서 주요 APT 공격을 수행하고 있다”며 “사이버 첩보 활동뿐만 아니라 금전적 수익을 거두기 위한 외화벌이 활동도 꾸준히 확장하고 있다”고 설명했다.
이어 ESRC는 “이번 공격에 사용된 악성 이메일에는 실제 전자 지불 관련 서비스를 제공하고 있는 기업명이 언급되어 있다”며 “해커는 해당 기업의 블록체인 소프트웨어 개발 계약서로 위장한 서류를 검토해 달라는 내용으로 악성 첨부파일을 열어보도록 유도했다”고 덧붙였다.
공격 대상자에 대한 분석이 상당히 이뤄진 상태에서 관심 사안을 미끼로 스피어피싱(Spear Phishing) 공격을 시도했다는 설명이다.
최근 라자루스는 암호화폐 탈취하는 데 상당한 공을 들이고 있다. 암호화폐가 추적이 어렵고 이를 다루는 거래소가 은행 등 다른 금융기관에 비해 다소 해킹에 취약하기 때문이다.
실제, 지난 2월 미국 재무부가 발표한 ‘2020테러리스트 및 기타 불법 자금 조달 대응 국가 전략’ 보고서에 따르면 라자루스를 비롯한 북한의 3개 해킹조직은 2017과 2018년 사이 아시아의 5개 거래소에서 암호화폐로만 5억 7100만 달러(약 7000억 원)를 탈취했다.
코로나19로 인해 북중무역이 중단되면서 외부와 완전히 고립된 북한에 암호화폐는 공간과 시간 제약에 상관없이 막대한 이익을 가져다 줄 수 있다는 분석이다.
한편, 전문가들은 북한의 사이버 공격에 대응하기 위한 노력이 필요하다고 강조하고 있다.
문종현 ESRC 이사는 “라자루스 조직은 김수키(Kimsuky), 코니(Konni), 금성121(Geumseong121) 조직과 함께 수년간 대한민국 등을 상대로 다양한 APT 공격을 수행해 왔다”며 “이들 조직에 관한 체계적인 연구와 대응 노력이 중요하다“고 설명했다.
김수키, 코니, 금성121은 모두 북한과 직간접적으로 연결된 해킹조직이다. 북한의 사이버 위협에 대비하기 위한 종합적이고 전방위적인 노력이 필요하다는 이야기이다.
