앵커 :북한 해킹 조직이 암호화폐를 노리고 여러 중소기업을 상대로 랜섬웨어 공격을 감행한 사실이 확인됐습니다. 지정은 기자가 보도합니다.
세계 최대 컴퓨터 소프트웨어 기업인 마이크로소프트(MS)는 14일 자사 블로그를 통해, 자신을 ‘홀리고스트’(H0lyGh0st)라 칭하는 북한 해킹 조직이 지난해 6월부터 랜섬웨어 공격을 시작해 같은 해 9월 이후 실제 여러 중소기업의 시스템을 손상시켰다고 밝혔습니다.
랜섬웨어란 개인·기업·기관 컴퓨터의 체계를 잠그거나 암호화 해 컴퓨터를 사용 불가능하게 만들고 이를 풀어주는 조건으로 금전을 요구하는 사이버 공격을 의미합니다.
홀리고스트는 공격 피해자들의 기기에 저장된 모든 자료를 암호화하고 피해자에게 공격의 증거로 암호화한 파일 일부를 전송했습니다.
이후 암호화된 모든 자료를 풀어주는 조건으로 피해자에게 암호화폐의 일종인 비트코인을 요구했습니다.
이들은 또 피해자가 돈을 지불하지 않을 시 피해자의 자료를 사회관계망서비스(SNS)에 유포하거나 피해자의 고객들에게 전송하겠다고 협박했습니다.
홀리고스트는 또 피해자가 자신들이 만든 웹사이트(.onion)에 접속할 수 있도록 협박 메시지(랜섬노트)에 링크(인터넷 주소)를 첨부했습니다.
홀리고스트는 이 웹사이트에 협박 글과 함께, 피해자가 자신들과 연락할 수 있도록 연락 양식(contact form)을 제공하기도 했습니다.
또 이들은 웹사이트에 자신들이 해킹을 통해 피해자에게 현재 보안 상황에 대해 알려주고 “피해자의 보안 의식을 높인다”며 해킹을 정당화하는 글도 남겼습니다.
이어 자신들이 “부자와 가난한 사람들 간 격차를 줄이기 위해, 가난하고 굶주리는 사람들을 돕기 위해 노력한다”는 글도 덧붙였습니다.
마이크로소프트는 이날 홀리고스트의 구체적인 공격 사례도 제시했습니다.
지난해 11월 홀리고스트의 랜섬웨어 4가지 변종 중 하나(HolyRS.exe)가 여러 국가에 위치한 중소기업들을 공격했다며, 제조업체와 은행, 학교, 행사 및 회의 기획사 등이 피해를 입었다고 소개했습니다.
마이크로소프트는 피해자 특성을 고려할 때 홀리고스트가 공격 대상을 계획적으로 선정하지는 않았을 것으로 추정했습니다.
홀리고스트는 주로 피해자에게 1.2~5 비트코인, 즉 (미국 동부시간으로 15일 오전 2시 20분 가상화폐 정보 사이트 코인게코 기준) 미화 약 2만4770달러~10만3190달러를 요구했습니다.
이들은 금전을 요구하며 주로 피해자와 협상 의지를 보였고 실제 피해자에게 요구한 금액을 처음 금액의 3분의 1 미만으로 낮춘 사례도 있었습니다.
다만 마이크로소프트가 이달 초 홀리고스트의 전자지갑 거래내역을 확인한 결과 이들이 피해자에게 성공적으로 자금을 갈취한 적은 없는 것으로 나타났습니다.
이런 가운데, 마이크로소프트는 이들이 북한 정찰총국의 통제를 받는 라자루스의 하위 조직 ‘안다리엘’과 연결돼 있다고 평가했습니다.
두 해킹 조직이 서로 이메일을 주고 받은 사실이 확인됐고, 두 조직 모두 동일한 기반시설을 사용하는 등 홀리고스트가 안다리엘이 만든 도구를 사용했다는 점, 홀리고스트의 활동 시간대가 북한 시간대와 일치한다는 점도 확인됐습니다.
하지만 홀리고스트와 안다리엘이 기술, 공격대상 등에서 차이를 보이고 있어 동일한 조직은 아닐 것이라고 덧붙였습니다.
최소 2014년부터 활동을 시작한 안다리엘은 미국과 한국, 인도의 에너지 및 방위 산업 분야 등을 주로 공격해 왔습니다.
한편 마이크로소프트는 홀리고스트가 랜섬웨어 공격을 시작한 동기는 명확히 알 수 없다면서도, 이들이 북한 당국의 지원을 받고 있을 가능성이 있다고 추정했습니다.
다만 북한 당국의 지원을 받아 암호화폐 기업을 공격하는 해킹 조직은 일반적으로 공격 대상이 더 광범위하다는 점을 고려하면, 홀리고스트는 안다리엘의 기반시설과 관련이 있는 개인들이 사적 이익을 위해 만든 조직일 수도 있다고 덧붙였습니다.
기자 지정은, 에디터 양성원, 웹팀 이경하