앵커 :북한 해킹 조직이 외화를 갈취하기 위해 유포한 4종의 변종 랜섬웨어가 새롭게 발견됐습니다. 지정은 기자가 보도합니다.
미국에 본부를 둔 사이버 보안업체 '트렐릭스'(Trellix)는 3일 보고서를 통해, 북한 정찰총국 소속 '180부대'와 연관이 있는 랜섬웨어 패밀리, 즉 동일한 범주로 구분한 변종 악성코드의 집합 4개(BEAF, PXJ, ZZZZ and CHiCHi)를 밝혀냈다고 전했습니다.
랜섬웨어란 개인·기업·기관 컴퓨터의 체계를 잠그거나 암호화 해 컴퓨터를 사용 불가능하게 만들고 이를 풀어주는 조건으로 금전을 요구하는 사이버 공격을 의미합니다.
트렐릭스는 정찰총국이 운용하는 해킹부대인 '라자루스'가 개발한 'VHD 랜섬웨어'와 이번에 새롭게 발견된 랜섬웨어의 소스코드, 즉 일종의 프로그램 설계도가 상당 부분 유사하다며, 북한 해킹 조직과의 연관성을 설명했습니다.
또 협박 메시지(랜섬노트)에 등장하는 이메일(전자우편) 주소가 서로 동일한 것도 있다고 확인했습니다.
보고서는 이들이 랜섬웨어 공격에 사용한 암호화폐 지갑도 분석했지만 이들 간 유사성은 발견되지 않았다며, 다만 모두 공통적으로 공격을 통해 상대적으로 적은 금액의 자금을 탈취했다고 밝혔습니다.
보고서는 일례로 북한 해커들이 2020년 중반, 당시 미화 약 2만 달러 상당의 2.2비트코인(암호화폐의 일종)을 갈취한 후 이를 여러 차례에 걸쳐 비트코인 교환소에서 현금화하거나 추적이 더 어려운 다른 암호화폐로 교환했다고 전했습니다.
보고서는 이 같은 북한 해킹 조직의 랜섬웨어 공격이 광범위하게 자행되지 않는 대신 아시아·태평양 지역 내 특정 대상을 겨냥한 것으로 보인다며, 현재 피해자에 대해서는 자세히 알려진 바 없다고 말했습니다.
그러면서 보고서는 북한이 이러한 공격 시도를 통해, 랜섬웨어 공격이 수익을 창출하는 가치 있는 방법인지 파악하고 있을 것이라고 추정했습니다.
또 이날 밝혀진 북한의 랜섬웨어 패밀리는 북한의 조직적인 사이버 공격의 일부일 것이라고 보고서는 덧붙였습니다.
보고서가 북한의 랜섬웨어 공격 배후로 지목한 180부대는 은행이나 암호화폐 거래소 등 해외 금융 시스템을 대상으로 공격을 감행하는 조직으로 알려져 있습니다.
보고서는 180부대 소속 해커들이 대부분 중국이나 러시아, 말레이시아, 태국 등에 거주하고 있다며 이들이 다양한 국가로 분포된 것은 북한과의 연관성을 숨기기 위한 목적일 것이라고 전했습니다.
앞서 북한의 해킹 조직은 과거에도 랜섬웨어 공격을 감행한 것으로 알려졌습니다.
북한의 해킹 조직 라자루스는 지난 2017년 전 세계 150여개국 30만대의 컴퓨터를 공격한 워너크라이 랜섬웨어 유포 사건의 배후로 지목됐습니다.
미국 재무부 산하 해외자산통제실(OFAC)은 지난해 9월 랜섬웨어 관련 주의보를 갱신하며 해당 사건을 거론하기도 했습니다.
기자 지정은, 에디터 양성원, 웹팀 김상일