사이버보안업체 “北라자루스, 韓가상화폐 거래소 공격”

러시아·한국 보안업체들이 2개 조직 추적
라자루스·김수키 '수익형 외화벌이' 공격

북한 해킹조직 ‘라자루스’가 지난해 11월부터 한국의 가상화폐 거래소를 대상으로 사이버 공격을 감행하고 있다고 러시아 다국적 기업 ‘카스퍼스키 랩(Kaspersky Lab)’이 밝혔다.

28일(현지시간) 미 자유아시아방송(RFA) 보도에 따르면, 카스퍼스키 랩사는 전날 공개한 ‘‘라자루스가 목표로 삼고 있는 가상화폐 사업’이라는 보고서에서 라자루스가 ‘벤처기업 평가를 위한 기술사업계획서’와 ‘중국블록체인협회 한국지부 사업개요’라는 제목의 HWP 형식 한글문서를 사용해 한국에 있는 가상화폐 거래소를 주요 공격 대상으로 삼았다고 지적했다.

라자루스는 2017년 5월 전 세계 150여개국 30여만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격, 2014년 미국 소니 영화사 해킹 사건 등 각종 사이버 공격의 배후로 의심받고 있다.

국내 민간 컴퓨터 보안업체 이스트시큐리티(ESTSecurity)도 28일 ‘자이언트 베이비 작전’(Operation Giant Baby)이라는 보고서를 통해 “가상화폐의 일종인 ‘알리바바 코인’(ABBC Coin·ABBC)의 지갑(Wallet) 프로그램과 함께 악성코드가 설치되는 사이버 공격이 한국에서 발견됐다”고 밝혔다.

이스트시큐리티는 이번 사이버 공격을 추적하던 중 해커의 이메일과 비밀번호를 발견했으며, 이메일 설정에 북한인임을 표시한 사실을 포착했다.

이스트시큐리티는 해커가 이메일에 처음 가입할 때 암호를 기억하지 못할 경우에 대비해 사용하는 질문항목에 ‘아이 엠 노스 코리안(I am North Korean)’을 기재했다면서 이 보안 질문이 외부에 노출될 것이라 판단하지 못한 것으로 보인다고 밝혔다.

이스트시큐리티는 또 이번 사이버 공격에 사용된 악성코드의 암호가 ‘wjsgurwls135’이라는 점을 주목하고 ‘wjsgurwls135’를 한글 상태에서 키보드로 입력하면 ‘전혁진135’이라고 설명했다.

‘전혁진’은 지난해 4월 김수키(kimsuky)가 수행한 해킹 공격의 악성코드에서 발견된 이름과 일치하며, 2014년 한국 외교부 관련 스피어피싱 공격에 쓰인 ‘jhj135’, 즉 전혁직의 영문 이니셜인 ‘jhj’와 동일하다고 이스트시큐리티는 밝혔다. 김수키는 2014년 한국수력원자력을 해킹한 배후로 알려진 북한 해킹 조직이다.

이스트시큐리티 문종현 이사는 28일 자유아시아방송(RFA)에 “특정 정부의 후원을 받는 것으로 추정되는 집단에 의한 사이버 보안 위협이 한국에서 지속적으로 식별되고 있다”며 “이 집단들이 가상화폐 정보 탈취 등 금전 수익형 외화벌이 조직으로 왕성하게 활동하고 있다”고 말했다.

【서울=뉴시스】