앵커: 최근 가상화폐의 시세가 급등하는 가운데, 북한 해커 조직이 가상화폐로 결제가 가능한 소매업체들을 대상으로 새로운 수법의 사이버 공격을 감행하는 것으로 나타났습니다. 이경하 기자가 보도합니다.
러시아에 본사를 둔 다국적 민간보업업체인 '그룹-아이비'(Group-IB)가 최근 '라자루스 BTC 체인저'(Lazarus BTC Changer)란 보고서를 공개했습니다.
보고서에 따르면 북한 해킹조직 라자루스는 'BTC 체인저'라는 악성코드를 가상화폐 결제가 가능한 온라인(북한명: 직결식) 소매업체 웹사이트에 설치해놓고, 고객들의 가상화폐 결제 정보를 훔치는 '웹 스키밍'(Web skimming) 공격을 감행했습니다.
원래 '스키밍'(Skimming)이란 현금자동입출금기(ATM) 카드 입구에 특수 장치를 부착해 금융정보를 탈취하던 오프라인(북한명: 비직결식)상의 기법을 의미하는 용어입니다.
이런 '스키밍'에서 더 발전된 '웹 스키밍' 공격이란, 악성코드가 온라인 결제 웹페이지에 몰래 설치돼, 사용자의 신용카드, 가상화폐 정보 등 개인정보가 악의적으로 탈취되는 공격 방식을 의미합니다.
보고서는 라자루스가 처음으로 'BTC 체인저'라는 악성코드를 최소 3곳의 온라인 소매업체 웹사이트에 설치해, 일반적인 신용카드 정보가 아닌 가상화폐 정보를 탈취했다고 지적했습니다.
보고서에 따르면 라자루스는 영국의 보석 온라인 소매업체, 호주에 본사를 둔 다국적 연구화학물질 공급업체, 이탈리아의 명품 의류 소매업체의 웹사이트를 공격대상으로 삼았습니다.
이어 보고서는 피해 금액이 4월9일 기준 가상화폐 시세로 최소 미화 약 6만 달러를 넘는 규모라고 밝혔습니다.
특히 보고서는 가상화폐의 시세가 폭등함에 따라, 가상화폐를 노린 라자루스의 사이버 공격이 급증하고 있다고 지적했습니다.
이와 관련, 미국 민간연구기관인 민주주의수호재단(FDD)의 매튜 하 연구원은 16일 자유아시아방송(RFA)에 북한 해커가 기존에 '웹 스키밍' 공격의 일환으로, 온라인 소매 업체를 표적삼아 신용카드 정보를 탈취한 적이 있다고 밝혔습니다.
그러면서 하 연구원은 이번 보고서에서처럼 북한 해커가 신용카드 정보가 아니라, 가상화폐 결제를 지원하는 웹사이트를 공격 대상으로 가상화폐 정보를 탈취한 사실은 매우 흥미로운 발전이라고 지적했습니다.
하 연구원: 북한의 사이버 부대가 새로운 수법으로 사이버 공격을 다양화하고 있습니다. 새로운 금융 기술이 북한 정권에 더 큰 이익을 줄 수 있기 때문에, 북한은 가상화폐 탈취에 대해 상당한 노력을 집중할 것입니다.
한편, 북한 해킹 조직인 라자루스는 2017년 5월, 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.
0:00 / 0:00