북한 추정 해커 조직이 암호화폐를 노린 악성코드를 유포한 것으로 전해졌다. 암호화폐는 블록체인 기술이 접목된 가상화폐로, 해커는 막대한 자금을 단기간에 얻기 위해 해킹을 시도한 것으로 보인다.
또한 암호화폐는 한 번 탈취되면 추적이 어렵다는 점에서 해커들은 본인의 신분을 쉽게 노출될 수 없는 이 방법을 주로 사용하곤 한다.
이와 관련 북한은 최근 암호화폐 거래소를 공격해 상당한 금전적 이익을 얻은 것으로 나타났다. 유엔이 지난 12일 발표한 보고서에 따르면 북한은 세계 암호화폐 거래소에서 8억 달러(한국 돈 약 9 천억원)에 상당의 암호화폐를 탈취했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 28일 “알리바바 코인(ABBC Coin) 지갑 프로그램과 함께 설치되는 악성코드가 한국에서 발견되고 있다”면서 “변종 유포 정황도 꾸준히 포착되고 있어 각별한 주의가 필요하다”고 밝혔다.
ESRC는 “공격 목표는 비트코인과 같은 암호화폐이다”면서 “(해커는) 코인과 관련한 개인정보를 교묘히 탈취해 금전적 고수익을 얻으려 한다”고 설명했다.
이어 ESRC는 “(이번 공격은) 개인적 사이버 범죄 수준이 아닌 국가 단위의 사이버 안보 위협으로 분류됐다”며 “이 공격의 배후에 ‘특정 정부의 후원을 받는 조직(state-sponsored actor)’이 존재하며, 과거 국제 외교·통일·안보 라인을 공격했던 인물이 가담한 것으로 분석된다”고 덧붙였다.
이번 해킹 공격을 주도한 그룹은 2014년 한국수력원자력을 공격한 북한 해커조직 ‘김수키(Kimsuky)’와 연관성이 높은 것으로 나타났으며 북한 사람으로 추정되는 인물도 이번 공격에 관계된 것으로 조사됐다.
ESRC는 공격자를 추적하던 중 해커의 이메일과 비밀번호를 발견했으며 이메일 설정에 본인을 북한인으로 표시한 사실도 드러났다고 밝혔다.
ESRC는 “해커가 해당 이메일에 처음 가입할 때 적용한 암호 분실시 사용하는 보안 질문 설정에 ‘나는 북한 사람이다’는 영문 문장(I am North Korean)을 질문으로 설정해 뒀다”며 “거짓 표식(False Flag)으로 보기에는 여러 정황상 한계가 있어 보이며, 가입시 설정된 보안 질문이 외부에 노출될 것이라 판단하지 못했던 것으로 분석된다”고 설명했다.
ESRC가 발견한 악성코드 내 암호는 ‘JHJ135’, ‘wjsgurwls135’라는 이메일 암호를 발견했는데 이는 전혁진의 영문식 이름의 이니셜과 일치한다.
‘wjsgurwls’를 키보드를 한글 상태에서 그대로 누르면 ‘전혁진(Jeon Hyok Jin, JHJ)’되는 것으로 일상에서도 많이 사용되는 방식 중 하나다.
여기서 드러난 전혁진은 지난해 4월 김수키가 수행한 해킹 공격과 연계된 조직의 변형 악성코드에서 발견된 이름과 일치하며 2014년 외교부 관련 스피어피싱 공격과도 연결된다고 ESRC는 밝혔다.
또한, ESRC가 분석한 자료에 따르면 악성코드 내부에 ‘코바(코인 바이러스로 추정)’라는 디렉터리가 존재하고 있으며 각종 문서, 압축, 이미지 유형의 확장자 파일 목록, 암호화폐 관련 한글 키워드, 한국에서 주로 이용하는 프로그램 형식이 존재하는 것으로 나타났다.
여러 정황 상 이번 사이버 공격에 가담한 해커가 북한 출신이라는 점에 무게가 실린다.
문종현 ESRC 이사는 데일리NK에 “(이번에 공격한 해커는) 과거 외교, 안보 관계자나 정부기관을 대상으로 정보 수집을 했었다”며 “최근 들어 금전적인 수익을 얻기 위한 공격을 시도하고 있다”고 말했다.
이어 문 이사는 “이번 공격의 1차 목표는 암호화폐를 통한 금전적 이익을 얻는 것이지만 단순히 코인만 노린 것은 아니다”며 “감염된 시스템의 정보를 분석해 공격 대상자가 자신들이 원하는 대상으로 파악되면 목적을 변경해 추가 피해를 줄 수 있다”고 덧붙였다.
한편, 유엔은 보고서를 통해 북한이 ‘라자루스(Lazarus)’라는 이름의 사이버 부대를 운영하고 암호화폐 해킹 행위를 반복적으로 하고 있다며 2017년 2월부터 지난해 9월까지 북한으로부터 해킹당한 암호화폐 거래소는 한국과 일본을 중심으로 14곳이라고 밝힌 바 있다.
