北 해킹 조직 '김수키', 변종 멀웨어 '두리안' 통해 암호화폐 기업 겨냥

북한 해킹 조직이 '두리안'이라는 이름의 변종 악성코드를 통해 한국 암호화폐 기업을 공격한 것으로 나타났다.

9일(현지시간) 사이버 보안업체 카스퍼스키(Kaspersky)는 올해 1분기 보고서에서 북한 정찰총국 산하 해킹 조직으로 알려진 '김수키(Kimsuky)'가 변종 멀웨어를 사용해 최소 두 곳의 암호화폐 기업을 공격했다고 밝혔다.

보안 기업은 북한 해킹 조직이 한국 암호화폐 기업이 독점 사용하는 합법 보안 소프트웨어를 악용해 지속적으로 공격을 펼쳤다고 밝혔다.

이전에 알려지지 않았던 멀웨어 '두리안(Durian)'은 백도어 '애플시드(AppleSeed)', 맞춤형 프록시 툴 '레이지로드(LazyLoad)', 크롬 원격 데스크톱 같은 합법적인 앱을 포함하는 멀웨어를 지속적으로 배포하는 설치 프로그램으로 역할했다고 설명했다.

카스퍼스키랩은 "두리안은 전달된 명령 실행, 추가 파일 다운로드, 파일 유출을 지원하는 포괄적인 백도어 기능을 제공한다"고 부연했다.

첫 번째 침해는 2023년 8월에, 두 번째 침해는 2023년 11월에 발생했으며 추가 피해는 확인되지 않았다면서 "이는 공격자가 고도로 집중적인 표적 공격을 벌였다는 뜻"이라고 분석했다.

보안 기업은 "북한 해킹 조직 라자루스의 하위 조직 '안다리엘(Andariel)'도 레이지로드를 사용했다"면서 "김수키와 안다리엘 간 연결성이 미약하게나마 발견된 만큼 잠재적인 협력이나 전술 공유 가능성에 대한 추가 조사가 필요하다"고 말했다.

2009년 처음 등장한 해킹 조직 라자루스가 작년까지 약 6년 동안 탈취한 암호화폐는 총 30억 달러(4조1052억원)로 추정된다.

지나달 29일 사설 블록체인 탐정 자크XBT(ZachXBT)는 라자루스가 2020년부터 2023년까지 2억 달러(2736억8000만원) 상당의 암호화폐를 세탁하는 데 성공했다고 밝힌 바 있다.

블록체인 보안 플랫폼 '이뮨파이(Immunefi)'의 작년 12월 28일자 보고서에 따르면 작년 한 해 해킹, 탈취 등으로 18억 달러 이상의 암호화폐가 도난당했으며 이중 라자루스가 배후로 지목된 사건의 피해액은 3억9000만 달러로, 작년 전체 피해액의 17%에 달한다고 알려졌다.

뉴스 속보를 실시간으로...토큰포스트 텔레그램 가기