앵커 :북한의 해킹 조직 '안다리엘'이 악성 코드 '마우이 랜섬웨어'를 유포했을 것이란 사이버 보안업체의 분석이 나왔습니다. 자민 앤더슨 기자가 보도합니다.
러시아 보안업체 카스퍼스키(Kaspersky)가 9일 마우이 랜섬웨어가 북한 해킹 조직 ‘안다리엘’과 관련이 있다는 내용의 보고서를 공개했습니다.
마우이(Maui) 랜섬웨어는 지난 달 6일 미국 중앙정보국(FBI)이 미 재무부, 사이버 보안·기반시설 보안국(CISA)과 함께 주의보를 발령한 악성 코드입니다.
랜섬웨어란 컴퓨터 시스템을 감염시켜 접근을 제한한 뒤 이를 해제하는 대가로 ‘몸값’을 요구하는 해킹 수법을 뜻합니다.
마우이 랜섬웨어가 공공 보건 분야의 기관들을 노리는 해킹 활동을 한다고 알려진 것과는 달리, 카스퍼스키가 이번 보고서를 통해 공개한 피해 기업은 일본의 주택 관련 회사(housing company)입니다.
카스퍼스키는 작년 4월 마우이 랜섬웨어 피해를 입은 일본 기업의 전산망 기록을 분석한 결과 그 공격이 안다리엘의 소행일 수 있다는 가능성을 제시했습니다.
보고서에 따르면 이 업체는 일본 기업을 대상으로 한 마우이 랜섬웨어 공격에 쓰인 악성 코드 ‘디트랙(Dtrack)’과 소프트웨어 ‘쓰리 프록시(3Proxy)’가 과거 안다리엘의 공격에서 발견된 것과 동일함을 확인했습니다.
업데이트(갱신)가 잘 되지 않는 취약한 공개 서버를 공략하고, 해킹 활동 수개월 전에 공격 대상의 전산망 내 프로그램을 설치하기도 하는 등 안다리엘 작전과의 강한 유사성도 발견했다는 설명입니다.
또한 비슷한 시기에 러시아, 인도, 베트남(윁남)에서도 안다리엘의 공격이 발견됐다고 덧붙였습니다.
아울러 보고서는 안다리엘이 금전적 이득을 위해 기회만 있으면 산업의 종류와 상관 없이 전 세계의 회사들을 대상으로 해킹에 나설 수 있다고 경고했습니다.
안다리엘은 북한의 대표적인 해킹 조직 라자루스의 하위 조직으로 2008년부터 한국의 언론, 건설, 제조, 네트워크 분야의 기업을 겨냥한 랜섬웨어 공격을 통해 스파이 활동과 데이터 탈취, 삭제 등의 공격을 자행해왔습니다.
앞서 미 법무부는 지난 달 19일 북한 해커들이 마우이 랜섬웨어를 통해 미 의료기관으로부터 갈취한50만 달러의 몸값을 회수하기도 했습니다.
기자 자민 앤더슨, 에디터 양성원, 웹팀 이경하