북한의 해킹조직이 암호화폐 신생기업들을 대상으로 공격을 감행하고 있다는 분석이 제기됐다. 러시아와 중국 등 12개국에서 피해 사례가 속출했으며 확인되지 않은 피해자들도 더 있을 것으로 추정된다.
자유아시아방송(RFA)은 러시아에 본부를 둔 다국적 기업인 ‘카스퍼스키’(Kaspersky)는 최근 보고서에서 북한의 해킹조직인 ‘블루노로프’가 암호화폐 스타트업(신생기업)을 겨냥하고 있다고 19일 보도했다.
RFA에 따르면 블루노로프는 지난 2019년 ‘라자루스’, ‘안다리엘’과 함께 미국 재무부의 제재대상으로 지정된 북한의 해킹조직이다.
보고서는 과거 블루노로프가 주로 은행 등을 겨냥했지만 현재는 암호화폐에 집중하고 있다며, 암호화폐 중소기업들을 대상으로 공격을 감행했다고 지적했다.
블루노로프는 신생기업의 직원들이 관심을 가질 만한 문서로 악성 파일을 위장한 후, 자신을 이 기업의 직원으로 가장해 해당 악성 파일을 실제 직원들에게 공유했다.
보고서는 지난해 연구 결과, 블루노로프가 이러한 공격을 감행하기 위해 암호화폐 기업 직원들 간 상호작용과 관심 주제를 끈질기게 추적하고 연구한 것으로 나타났다며, 이를 통해 사람의 심리를 악용해 권한을 탈취하는 사회공학적 공격을 수행했다고 지적했다. 또 블루노로프는 실존하는 투자회사의 이름을 사칭해 투자 계약서나 사업 관련 문서로 위장한 악성 파일을 만들기도 했다.
블루노로프는 이번에도 신생기업의 한 직원으로 위장해 기업 내 다른 직원에게 전자우편으로 이 문서를 전달하는 방식을 이용했다. 기업 직원들 간의 신뢰를 이용해 경계를 낮춘 것이다.
이후 피해자가 인터넷이 연결된 컴퓨터에서 해당 문서를 열어 보는 경우 피해자의 컴퓨터에 악성 소프트웨어가 설치된 것이다.
보고서는 블루노로프의 공격으로 발생한 피해 금액은 적시하지 않았지만 이러한 공격이 대륙과 국가를 가리지 않고 발생했다고 강조했다.
러시아, 중국, 폴란드, 슬로베니아, 우크라이나, 체코, 인도, 미국, 홍콩, 싱가포르, 아랍에미리트(UAE), 베트남 등 최소 12개국에서 피해자가 발생했으며 더 많은 피해자가 있을 것으로 분석했다. 또 블루노로프는 해당 공격을 위해 총 15개 기업을 사칭한 것으로 나타났다.
보고서는 중소기업들이 내부 보안 시스템에 많은 자본을 투자할 수 없다는 점과, 투자회사들이 신생기업에 먼저 접근해 이러한 서류를 보내는 경우 신생기업들은 이를 쉽게 열어보게 된다는 점을 블루노로프가 악용했다고 설명했다.
이외에도 블루노로프는 공격 대상자와 대화를 시작하기 위해 실제 운영 중인 회사의 인터넷 사회관계망 서비스 계정을 해킹해 악용하기도 한 것으로 나타났다.
보고서는 이처럼 블루노로프가 여러 형식으로 피해자의 컴퓨터에 악성 소프트웨어를 설치한다며, 이를 통해 ‘백도어’ 즉 관리자 몰래 관리자의 권한을 획득하는 해킹 공격 기법을 사용했다고 밝혔다.
해커들은 이를 이용해 피해자들의 암호화된 개인 정보를 수집한 것으로 나타났다.
또 블루노로프가 눈에 띄는 공격 대상자를 발견하는 경우에는, 최대 몇 달 동안 이들을 감시하며 컴퓨터 자판 키 입력이나 일상적인 작업에 대한 정보를 수집해 자금 갈취 전략을 계획하기도 한다고 설명했다.
이 경우 피해자가 암호화폐 지갑 관리를 위해 사용하는 인터넷 확장프로그램을 손상시킨 후, 피해자가 큰 금액을 거래할 때 이를 중간에서 가로채는 방식을 이용한 것이다.
한편, 앞서 미국의 블록체인 거래 분석업체 ‘체이널리시스’는 지난 13일 북한 해커들이 지난 한 해 최소 7번의 해킹 공격을 통해 미화 3억9500만 달러 상당의 암호화폐를 갈취했다고 밝힌 바 있다.
이상연 기자 lsy@koreareport.co.kr