한국의 사이버전 추적 전문 비영리 연구기관인 이슈메이커스랩(IssueMakersLab)은8일 자유아시아방송(RFA)에 북한의 히든코브라 조직이 지난 7일 한국 금융감독원을 사칭해 가상화폐 거래소 공격을 시도했다고 밝혔습니다.
이슈메이커스랩 관계자는 이번 공격 시도와, 앞서 공개된 지난 6월 1일과 14일, 15일, 21일, 25일 거래소 공격 시도 등은 최근 북한의 가상화폐 탈취 공격의 일부에 불과하다고 설명했습니다.
이 관계자는 그러면서 북한의 가상화폐 거래소 공격이 한동안 줄어드는 추세였지만, 가상화폐 탈취 시도가 최근 다시 빈번해지고 있다고 말했습니다.
북한이 지난 4월 남북 정상회담 그리고 지난 6월 미북 정상회담을 개최한 후에도 사이버 공격을 통한 외화벌이에 주력하고 있다는 설명입니다.
이슈메이커스랩은 북한의 주요 해커조직을 라자루스 혹은 히든코브라로 알려진 A조직, 안다리엘(Andariel)로 알려진 B조직, 킴수키로 명명된 C조직으로 분류하고 있습니다.
A 조직은 2017년부터 가상화폐 거래소 공격에 나섰고, B조직은 올해 1월부터 거래소 공격을 감행했습니다. 이어 지난 4월 C조직까지 거래소에 대한 공격에 나서면서 북한의 주요 해커조직이 모두 가상화폐 거래소 공격에 가담하게 됐습니다.
특히 중국의 선양 혹은 동북3성에서 활동하는 C조직, 킴수키는 북한 정찰총국 소속으로 추정되며, 2014년 ‘한국수력원자력’ 이른바 ‘한수원’의 내부 인터넷망 해킹을 감행한 것으로 알려졌습니다.
가상화폐 거래소 공격에 북한 해커조직이 모두 가담해 적극적인 탈취에 나서고 있는 것과 관련해 사이버보안업체 파이어아이(FireEye iSIGHT Intelligence)의 루크 맥나마라(Luke McNamara) 수석분석가(Principal Analyst)는 자유아시아방송에 대북 제재의 지속적인 영향 때문으로 분석했습니다.
따라서, 비트코인 등 가상화폐들의 가격 하락에도 불구하고 이들 북한 추정 해킹 조직의 가상화폐 탈취 범죄는 계속될 것으로 전망된다고 그는 덧붙였습니다.
익명을 요구한 또 다른 미국의 보안 전문가도 가상화폐는 인터넷 공격만으로 탈취가 가능하고, 개인 대 개인으로 거래되고 있기 때문에 일단 탈취가 된 후에는 되찾거나 사용을 막기 어렵다는 점에서 해커조직에게 매력적인 공격 대상이라고 말했습니다.