​북한 해킹 조직, 고임금 제안하며 암호화폐 종사자 노렸다

미국 CISA, 암호화폐 노린 북한 피싱 캠페인 발견하고 주의 당부

그럴듯한 가짜 사이트 만들고 트로이목마 설치 유도

[사진=게티이미지뱅크]

미국 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI), 재무부 등은 18일(현지시간) 북한 라자루스 조직이 트로이목마형 악성 소프트웨어로 암호화폐 산업을 노리고 있다고 경고했다. 특히 기업에 침투하기 위해 관련 종사자를 속이고, 악성 앱 설치를 유도하는 방식으로 접근하고 있어 관련 기업 임직원의 주의를 당부했다.

CISA에 따르면 최근 암호화폐 거래소, 탈중앙화 금융(DeFi), P2E 게임, 암호화폐 투자사 등 블록체인·암호화폐 분야 다양한 조직에서 북한의 사이버공격 시도를 발견했다. 이들은 사회공학적 기법을 이용해 암호화폐 관련 소프트웨어(지갑 등)로 위장한 악성 소프트웨어를 유포하고, 관련 종사자가 직접 설치하도록 유도한 것으로 나타났다.

사회공학적 기법이란 기술적인 해킹이 아닌, 사람 간의 신뢰를 기반으로 침투하는 공격 방식이다. 공격자는 피해자가 관심을 가질 만한 주제로 신뢰를 주며 접근한 뒤 시스템 침투에 필요한 정보를 얻거나 악성코드를 실행하도록 유도한다. 일상에서 흔히 접할 수 있는 사례로는 '연말정산 안내' 등으로 위장한 피싱 이메일이다.

이러한 피싱 캠페인에 속아 사용자가 가짜 암호화폐 소프트웨어를 설치하면, 공격자는 사용자 PC에 접근해 각종 정보를 유출하고 기업 네트워크(연결망) 전체에 악성코드를 확산한다.

CISA는 이러한 공격 방식이 이전에 식별된 라자루스 조직과 유사하다고 밝혔다. 라자루스 조직은 4월 현재 악성코드 유포를 기반으로 암호화폐를 탈취하는 스피어피싱(표적형 피싱) 공격 캠페인을 펼치고 있으며, 사용자를 속이기 위해 '고임금 일자리'를 제안하며 피싱을 시도하고 있다.

대표적인 유형으로, 자신을 인공지능 기반 암호화폐투자 분석 기업 'CryptAIS'라고 소개하며 분석·거래용 소프트웨어 설치를 유도한다. 해당 악성 소프트웨어가 실행되면 소프트웨어는 명령제어서버에서 추가적인 명령어를 내려받으며, 악성행위가 드러나지 않도록 일주일가량 침투 작업을 진행하는 사례도 발견됐다. 현재 미국 정부에 의해 발견된 악성 소프트웨어 유포 사이트 6곳은 모두 폐쇄된 상태다.

한편, 2019년 유엔기밀보고서에 따르면 북한 사이버공격 조직은 최소 12개국 이상에서 은행과 암호화폐 거래소를 공격했으며, 이를 통해 20억 달러(약 2조4695억원)를 탈취했다. 미국 법무부는 라자루스 조직원 3명을 기소하고 일급수배 목록에 올렸으며, 최근 미국 재무부는 북한 조직이 사용하는 것으로 알려진 암호화폐 지갑 주소를 제재해 현금화를 막았다.