미 전문가 "북한 2017년 암호화폐 해킹과 국방ㆍ원전 해킹 연관"
미 전문가 "북한 2017년 암호화폐 해킹과 국방ㆍ원전 해킹 연관"
  • 강진규 기자
  • 승인 2019.11.08 15:51
  • 댓글 0
이 기사를 공유합니다

-국제 보안 행사 POC 2019에 미국 맥아피 전문가 발표
-북한 해커 암호화폐 겨냥 공격 여전
11월 8일 서울 양재동 더케이호텔에서 열린 국제 보안 행사 POC 2019에서 라이언 셔스토비토프 맥아피 수석 분석가는 북한 해킹 조직에 대해 발표했다. 이날 발표는 보안을 위해 사진촬영과 발표자료 공유가 금지됐으며 참석자들에게만 공개됐다. POC 2019 홈페이지 모습.

북한 해커들의 주요 공격 목표가 여전히 암호화폐 갈취라는 주장이 나왔다. 특히 북한 해커들이 다른 사람을 위장한 공격을 진행하고 있어 이에 대한 주의가 필요하다는 경고다.

미국 보안업체 맥아피의 라이언 셔스토비토프(Ryan Sherstobitoff) 수석 분석가는 8일 서울 양재동 더케이호텔에서 열린 국제 보안 행사 POC 2019에 참여해 미국 FBI와 함께 분석한 북한 해커 동향을 소개했다.

라이언 셔스토비토프 수석 분석가는 북한 해커들의 활동을 분석한 결과 암호화폐와 국방 분야가 공격 목표가 되고 있다고 주장했다. 그는 “암호화폐와 금융 쪽이 타겟이 되고 있다”며 “이는 정치적 상황으로 대북제재가 이뤄지고 있기 때문인 것으로 보인다”고 말했다. 이와 함께 국방 분야를 겨냥한 해킹 시도도 지속적으로 나타나고 있다고 설명했다.

라이언 셔스토비토프 수석 분석가에 따르면 미국 정부는 북한 해커들을 ‘히든 코브라’로 지칭하고 있다. 히든 코브라에는 라자루스 그룹, 블루노로프, APT 37 등 여러 해커 단체들이 포함돼 있다. 미국 국토안보부와 FBI, 보안 업체, 보안전문가들이 협력해 이들 해커 단체와 악성코드 등을 분석하고 있다. 보안 전문가들은 북한 해커들이 국내외 암호화폐 해킹 사건에 연루된 것으로 보고 있다.

실제 9월 13일(현지시간) 미국 재무부는 북한 지원을 받는 것으로 의심되는 라자루스 그룹, 블루노로프, 안다리엘 등 3개 해킹 그룹을 제재한다고 발표했다. 미국 재무부는 이들 3개 해킹 조직이 2017년 1월부터 2018년 9월까지 아시아의 5개 암호화폐 거래소에서 암호화폐 규모의 약 5억7100만 달러(한화 약 6820억 원)를 훔쳤을 가능성이 높다고 주장했다.

최근 외신들에 따르면 북한 해커들이 국방, 원전 등 분야 해킹에 집중하고 있는 것으로 보인다. 하지만 암호화폐 거래소와 이용자들을 또 다시 노릴 수 있다는 지적이다.

라이언 셔스토비토프 수석 분석가는 “지난해부터 히든 코브라의 샤프슈터(Sharpshooter) 작전을 조사하고 있다. 방산업체, 원자력, 에너지 등 분야를 공격하고 있다”며 “그런데 분석을 해보니 장기적으로 기획된 작전이었다. 2017년에 발생한 암호화폐 해킹 사고와도 관련 있는 것을 확인했다”고 주장했다. 히든 코브라 해커들이 암호화폐 해킹에 사용된 기술과 코드를 국방, 원자력 해킹 등에 사용하고 있다는 것이다. 이는 반대의 경우도 성립될 수 있다.

라이언 셔스토비토프 수석 분석가는 최근 북한이 다른 인물을 가장하는 공격을 진행하고 있다고 경고했다. 예를 들어 실제 방산업체에 근무하고 있는 채용담당자 정보를 활용해 가짜로 링크드인 등에 계정을 만든 후 방산업체 관계자들에게 채용을 하려는 것처럼 접근한다는 것이다. 맥아피와 미국 정부가 조사한 바에 따르면 이들은 한국과 관련이 있는 미국 방산업체를 노렸다. 한국에 배치된 싸드(THAAD) 관련업체나 한국에 공급된 레이더, 무인기 관련 인물들을 대상으로 했다는 것이다.

해커들은 영어는 물론 이스라엘 히브리어, 러시아어 등을 유창하게 구사하고 실제 인물인 것처럼 능숙하게 연기를 하기도 했다고 한다. 그러면서 악성코드가 담긴 이메일을 보내거나 악성코드로 감염시킬 사이트에 접속하도록 유도했다는 것이다. 

전문가들은 히든 코브라의 이같은 공격이 국방 분야에서 보고되고 있지만 암호화폐 등 다른 분야로 확대될 수도 있다고 경고하고 있다.

한편 라이언 셔스토비토프 수석 분석가는 악성코드 소스코드를 분석에서 어떻게 북한 해커들로 판단할 수 있는지 여부에 대해 “100만 개 이상의 자료를 기반으로 분석하고 있다. 악성코드의 소스코드가 퍼블릭(일반적으로 사용되는)한 것인지 특별히 사용되는 것인지 분석하고 있다. 해커들이 남긴 핑거프린팅(증거)을 보면서 심도 있게 분석을 하는 것이다. 단순히 소스코드 라이브러리만 보는 것이 아니다”라고 설명했다.

강진규 기자  viper@thebchain.co.kr


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.