앵커 : 북한 해킹 조직이 최근 기업용 음성 및 비디오 통화 프로그램인 '3CX'를 공격한 것으로 알려진 가운데, 에너지 기반시설 기관과 금융거래 기관 최소 4곳도 동일한 해킹 공격을 받은 것으로 나타났습니다. 지정은 기자가 보도합니다.
북한 해킹 조직 ‘UNC4736’은 최근 소프트웨어 업체 ‘트레이딩 테크놀로지스’의 ‘엑스트레이더’(X-TRADER)라는 금융 거래용 소프트웨어를 멀웨어(악성 소프트웨어)에 감염시켰습니다.
이후 이들은 ‘엑스트레이더’를 다운받은 ‘3CX’사 직원의 개인 컴퓨터에 침입해, 이 직원의 회사 인증정보를 훔쳐 3CX를 공격했습니다. 3CX는 기업용 음성 및 비디오 통화 프로그램으로, 일일 사용자 수는 1천2백만명이 넘는 것으로 알려졌습니다.
이렇게 북한 해킹 조직이 한 소프트웨어 공급망(제품이나 서비스가 공급자로부터 소비자에게 전달되기까지의 체계)을 공격해 또 다른 소프트웨어 공급망을 해킹한 사례가 처음 확인된 가운데, 3CX 이외에 최소 4곳의 기업이 동일한 유형의 피해를 입었다는 분석이 제기됐습니다.
미국의 사이버 보안업체 시만텍은 최근(22일) 보고서를 통해 “지금까지 초기 조사에 따르면 피해 기관 중에는 미국과 유럽에 위치한 주요 에너지 인프라(기반시설) 기관 2곳이 포함된다”며 “금융 거래 관련 다른 기관 2곳도 침입당했다”고 밝혔습니다. (Initial investigation by Symantec’s Threat Hunter Team has, to date, found that among the victims are two critical infrastructure organizations in the energy sector, one in the U.S. and the other in Europe. In addition to this, two other organizations involved in financial trading were also breached.)
보고서는 처음 공급망 해킹이 시작된 엑스트레이더의 개발 기업 ‘트레이딩 테크놀로지스’가 금융투자상품의 일종인 에너지 선물 등 선물 거래에 이용되는 만큼 이번 해킹 사건은 금융 탈취가 목적인 것으로 추정했습니다.
다만 이렇게 주요 기반시설을 대상으로 한 공격은 더 큰 우려의 소지가 있다며 “북한 해커들은 첩보와 금융 탈취 공격에 모두 관여하는 것으로 알려져 있어, 전략적으로 중요한 기관이 금융 탈취 공격으로 침입당했다면 이후 추가적으로 악용될 가능성을 배제할 수 없다”고 경고했습니다.
이어 “이번 해킹 사건은 당초 예상한 것보다 더 광범위한 영향을 미쳤다”며 “공격의 배후자들은 소프트웨어 공급망 공격에 대한 성공적인 본보기를 가지게 됐기 때문에 향후 유사한 공격 가능성도 배제할 수 없다”고 덧붙였습니다.
이번 공격을 감행한 북한 해킹 조직 ‘UNC4736’은 금전 탈취를 목적으로 하는 ‘애플제우스’라는 멀웨어와 관련이 있는 것으로 알려졌습니다.
애플제우스는 북한 연계 해킹 조직인 ‘라자루스’가 2018년부터 사용한 악성코드로 주로 암호화폐를 갈취하는 데 이용돼 왔습니다.
이런 가운데 미 재무부 해외자산통제국(OFAC)은 24일 불법 사이버 활동을 통해 북한의 핵·미사일 개발 자금 조달에 관여한 개인 3명을 제재 명단에 올렸습니다.
제재 명단에는 조선광선은행 소속 북한 국적자 심현섭과, 중국 및 홍콩 기반으로 활동하는 장외거래(OTC) 암호화폐 거래자인 중국 국적의 우 훼이훼이(Wu Huihui), 중국계 영국인 청훙만(Cheong Hung Man)이 올랐습니다.
미국 법무부도 이날 이 세 명과 신원이 확인되지 않은 인물 1명 등 총 4명을 돈세탁 공모 등의 혐의로 형사 기소했습니다.
법무부는 보도자료에서 심현섭이 이 3명의 인물과 함께 갈취한 암호화폐를 세탁하고, 홍콩 소재 위장회사를 통해 북한을 위한 물품을 구입했다고 밝혔습니다.
이 과정에서 심현섭은 이 신원 미상의 인물을 통해 미국 달러를 이용한 거래를 지시했고, 이 인물은 우 훼이훼이와 청훙만을 고용한 후 위장 회사를 이용해 미국의 대북제재를 피하는 방식으로 대금을 지불했습니다.
법무부는 또 심현섭에 대해 별도의 기소가 이뤄졌다며, 여러 북한 정보기술(IT) 노동자들이 신분을 위장해 미국 암호화폐 회사에 취업해 수익을 얻었는데 심현섭이 이 불법 수익을 세탁해준 혐의가 적용됐다고 말했습니다.
돈세탁 공모 혐의는 유죄 판결 시 최대 20년의 징역형에 처해질 수 있습니다.
이외에도 우 훼이훼이는 미국 소재 암호화폐 거래소에서 무면허로 근무한 혐의로 기소됐으며, 유죄 판결 시 최대 징역 5년을 선고받을 수 있습니다.
기자 지정은, 에디터 박정우, 웹팀 김상일