北 해커 조직 라자루스, 신형 악성코드로 암호화폐 거래소 공격

북한의 해커조직이 미국 애플사의 맥(Mac) 운영체제용 신형 악성코드를 개발해 암호화폐 거래소를 공격하고 있다.

미국의 자유아시아방송(RFA)은 24일(현지시간) 러시아 사이버 보안업체인 카스퍼스키랩의 최근 보고서를 인용, 이같은 소식을 전했다.

카스퍼스키랩은 23일(현지시간) 공개한 보고서에서 '애플제우스(AppleJeus)'로 불리는 멀웨어(Malware)를 발견했다고 밝혔다. 암호화폐 거래소 직원이 멀웨어가 숨겨져 있는 앱을 다운로드, 거래소 시스템 내 침투한 것으로 감염 경로가 드러났다.

해당 앱의 제작과 배포에 북한의 해킹 그룹인 라자루스 그룹(Lazarus Group)이 개입되어 있는 것으로 알려졌다. 그 증거로 이번 해킹 공격에 이용된 애플제우스 악성코드에서 북한과 관련된 문자열(language code)이 발견됐으며, 이는 멜웨어에서 볼 수 없는 것이라고 강조했다.

분석에 따르면 라자루스는 암호화폐 거래용 소프트웨어 '셀라스 트레이드 프로(Celas Trade Pro)'에서 새로운 버전의 프로그램을 내려받도록 하면서 해당 컴퓨터에 몰래 침투해 재정 정보를 탈취하는 방식을 취하고 있다.

비탈리 캄룩 카스퍼스키랩 아시아태평양 연구팀장은 보고서에서 "애플제우스 해킹은 윈도우뿐 아니라 맥 운영체제까지 공격을 시도하고 있으며, 앞으로 해킹 프로그램이 정상적인 소프트웨어와 더 구분하기 어려워지고 해킹 횟수도 더 잦아질 것"이라고 분석했다.

한편, 라자루스는 작년 5월 전 세계 150여 개국 30여 만 대의 컴퓨터를 강타한 '워너크라' 랜섬웨어 공격의 배후로 의심받고 있다. 앞서 미국 연방수사국(FBI)도 2014년 소니영화사 해킹 수사를 통해 라자루스의 배후가 북한이라고 밝힌 바 있다.

이어 스웨덴의 중도좌파 정당인 사회민주당 웹사이트가 두 번째 해킹 피해를 입은 것으로 나타났다. 유럽의 뉴스포털 더로컬은 22일(현지시간) "이번 디도스 공격은 러시아, 북한 해커들과 연관되어 있다"고 전했다.

헬레나 살로몬손 사회민주당 대변인은 "선거운동이 한참인 이때 시민들이 우리 웹사이트에 접속할 수 없다는 것은 매우 심각한 일"이라고 밝혔다.

디도스 공격은 21일(현지시간) 오후 9시에 일어났고 사회민주당은 이를 즉각 경찰에 알렸다. 현재 녹색당과 연정을 구성하고 있는 집권당인 사회민주당 웹사이트에 대한 DDoS 공격은 이번 주에만 두 번째이며 경찰의 추적 결과 연계된 IP가 북한과 러시아 해커들과 연관 있는 것으로 파악됐다.

우리나라의 암호화폐 거래소는 북한 해커 조직의 타겟으로 알려져 있다. 지난 1분기에도 카스퍼스키는 ‘지능형 지속위협(APT) 동향 보고서’를 통해 북한 해커의 한국 공격이 활발하다고 밝힌 바 있다. 당시 보고서는 ‘라자루스의 일원 블루노로프가 암호화폐와 POS 단말기에 대한 공격을 새롭게 시작했다’는 내용을 포함하고 있다.

이동언 기자 [email protected]