- 구인 광고로 구직자 유인 후 멀웨어 살포…자료 탈취
- 우크라서도 범행…북러 군사협력 사이버 공간까지?
북한 해커들이 암호화폐 절취와 돈세탁을 위해 사용하는 수법이 날로 치밀해지고 있다. 특히 요즘은 북한 밖 해외에 거점을 확보하고 있다. 미국에 위장기업을 차리는가 하면 추적을 피하기 위해 러시아 IP도 활용하고 있다.
24일 로이터 통신에 따르면 북한 해커들이 미국에 위장기업을 세우고, 그 곳을 거점으로 암호화폐 개발자들에게 멀웨어를 전파한 것이 드러났다.
미국 사이버 보안 기업인 사일런트 푸시의 조사에 따르면 북한이 세운 위장기업 중 블록노바스와 소프트글라이드, 앤젤로퍼 에이전시 등이 적발됐다. 모두 실제로는 존재하지 않는 대표자와 엉터리 주소를 내세우고 있다. 일례로 블록노바스가 자신들의 주소지로 내세운 곳은 실제로는 아무 것도 없는 허허벌판이었다.
하지만 앤젤로퍼 에이전시를 제외하면 모두 미국 정부에 정식 등록된 사업체라는 점에서 매우 희귀한 형태의 공격 사례다. 북한 해커들은 이 기업들의 명의로 가짜 구인 광고를 내고, 이 광고를 보고 온 암호화폐 개발자들과 원격 면접을 진행하면서 이들에게 멀웨어를 살포했다. 멀웨어는 상대방의 기기를 점령해 시스템을 파괴하거나 정보를 절취하는 악성 프로그램을 말한다.
이 멀웨어는 개발자들의 암호화폐를 절취하는 것은 물론 개발자들이 가진 암호와 크리덴셜(신분 증명)까지 탈취해 북한 해커들의 후속 범행을 돕는다. 이 위장기업들의 운영 주체는 지난 2월 바이비트 암호화폐 거래소 해킹으로 유명해진 북한 해커집단 라자루스 산하 소그룹들인 것도 드러났다.
이같이 미국 내에 북한 기업을 세워 그 수익금으로 북한 정부 또는 군을 지원하는 행위는 미국 재무성 해외자산통제국(OFAC)의 대북제재는 물론 유엔 대북제재 위반이다.
북한 해커들은 러시아에도 거점을 마련하고 있다. 미국 사이버 보안 기업 트렌드 마이크로가 지난 23일 발간한 보고서에 따르면 북한의 사이버 범죄 관련 IP 주소를 추적해 보니 러시아 도시 하바로프스크, 하산 등까지 연결돼 있었다. 하바로프스크는 소련 붕괴 이후 북한과 교류가 활발해졌으며, 하산은 두만강 철교로 북한과 바로 연결돼 있다. 두만강 철교에는 2017년 광섬유 케이블 공사도 이루어졌다.
‘페이머스 천리마’라는 이명으로도 알려진 라자루스 산하 해커집단 보이드 도깨비는 가상사설망(VPN), 프록시(보안용 가교 서버), 원격 데스크탑 프로토콜을 통해 북한과 가깝고 교류가 활발한 이 도시들의 IP 주소 범위 5개를 확보했다.
이 IP 주소들로 전 세계의 가상 사설 서버(VPS)에 접속해 가짜 구인 활동, 암호화폐 절취 및 돈세탁 등 범행에 필요한 작업을 해왔다. 이로서 상대방의 추적을 피하는 것은 물론 북한과의 연관도 부인할 수 있었다. 보이드 도깨비는 앞서 언급한 유령 기업 블록노바스의 운영도 맡아왔다는 것이 밝혀졌다.
심지어 이들 북한 해커들이 러시아를 위해 사이버 전투를 벌였다는 의혹도 불거지고 있다. 트렌드 마이크로는 블록노바스가 지난해 12월 우크라이나 소프트웨어 엔지니어들을 상대로 가짜 구인 활동을 벌이며 멀웨어를 살포, 우크라이나 엔지니어들의 컴퓨터를 장악하려고 시도했음을 알아냈다.
우크라이나는 현재 러시아와 전쟁 중이다. 북러간 군사협력이 사이버 공간까지 확대됐다고 의심하기에 충분하다. 러시아가 북한에 IP를 제공하고, 대신 북한이 우크라이나에 대한 사이버 대리전을 벌이기로 한 거래가 이면에 있을지도 모르는 것이다./이동훈 기자 ldh@sandtimes.co.kr