러시아·한국 보안업체들이 2개 조직 추적 라자루스·김수키 '수익형 외화벌이' 공격
북한 해킹조직 ‘라자루스’가 지난해 11월부터 한국의 가상화폐 거래소를 대상으로 사이버 공격을 감행하고 있다고 러시아 다국적 기업 ‘카스퍼스키 랩(Kaspersky Lab)’이 밝혔다.
28일(현지시간) 미 자유아시아방송(RFA) 보도에 따르면, 카스퍼스키 랩사는 전날 공개한 ‘‘라자루스가 목표로 삼고 있는 가상화폐 사업’이라는 보고서에서 라자루스가 ‘벤처기업 평가를 위한 기술사업계획서’와 ‘중국블록체인협회 한국지부 사업개요’라는 제목의 HWP 형식 한글문서를 사용해 한국에 있는 가상화폐 거래소를 주요 공격 대상으로 삼았다고 지적했다.
라자루스는 2017년 5월 전 세계 150여개국 30여만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격, 2014년 미국 소니 영화사 해킹 사건 등 각종 사이버 공격의 배후로 의심받고 있다.
이스트시큐리티는 이번 사이버 공격을 추적하던 중 해커의 이메일과 비밀번호를 발견했으며, 이메일 설정에 북한인임을 표시한 사실을 포착했다.
이스트시큐리티는 해커가 이메일에 처음 가입할 때 암호를 기억하지 못할 경우에 대비해 사용하는 질문항목에 ‘아이 엠 노스 코리안(I am North Korean)’을 기재했다면서 이 보안 질문이 외부에 노출될 것이라 판단하지 못한 것으로 보인다고 밝혔다.
이스트시큐리티는 또 이번 사이버 공격에 사용된 악성코드의 암호가 ‘wjsgurwls135’이라는 점을 주목하고 ‘wjsgurwls135’를 한글 상태에서 키보드로 입력하면 ‘전혁진135’이라고 설명했다.
‘전혁진’은 지난해 4월 김수키(kimsuky)가 수행한 해킹 공격의 악성코드에서 발견된 이름과 일치하며, 2014년 한국 외교부 관련 스피어피싱 공격에 쓰인 ‘jhj135’, 즉 전혁직의 영문 이니셜인 ‘jhj’와 동일하다고 이스트시큐리티는 밝혔다. 김수키는 2014년 한국수력원자력을 해킹한 배후로 알려진 북한 해킹 조직이다.
【서울=뉴시스】