북한 해커들의 암호화폐 탈취 수법이 진화하고 있는 것으로 나타났다. 이들이 암호화폐 탈취를 위해 가짜로 만든 웹사이트만 1200여 개에 이르는 것으로 전해졌다. 해커들은 미주 지역에서 가장 왕성한 사이버 공격을 벌여 왔으며, 앞으로 간첩 활동이나 데이터 도난 등 심각한 범죄 행위로도 발전할 가능성이 있어 우려가 제기된다.

◇ 암화화폐 자동 탈취 위해 작년 1월 이후 1200개 가짜 웹사이트 제작

구글 산하 사이버 보안 기업 맨디언트(Mandiant)가 지난달 24일 발표한 연례 보고서에 따르면 북한의 해커들은 암호화폐 및 블록체인 개발 관련 종사자들을 더욱 효과적으로 공격하기 위해 공격 방법을 수정해나가고 있는 것으로 알려졌다.

특히 보고서는 북한 해커들이 최근 수년간 인공지능과 블록체인 기술 기반의 ’3세대 인터넷(웹3.0)’ 관련 개발자들과 해당 개발자를 고용한 조직에 불법적으로 접근하고 있다고 지적했다. 

또 피싱과 사회공학(social engineering) 기법 등 기존 전술을 통해 공격 대상이 스마트 계약(smart contract)을 실행하게 유도하고 이를 통해 암호화폐를 자동으로 빼돌리는 이른바 ‘드레이너 작전(drainer operations)‘을 펼치기도 한다고 보고서는 전했다. 보고서에 의하면 지난해 1월 이후 이러한 작전을 위해 생성된 가짜 웹사이트는 총 1200여 개에 달한다.

◇ 미주 지역서 가장 자주 적발한 그룹, 북한 IT노동자 조직 'UNC5267'

보고서는 또한 지난해 미주 지역에서 활동한 사이버 공격 주체들 중 북한 IT 노동자들이 가장 빈번하게 적발됐다고 밝혔다. 

맨디언트가 지난해 미주 지역에서 가장 자주 적발한 사이버 공격 그룹은 북한 IT 노동자들의 활동 조직인 ‘UNC5267′이었다. 두번째로 자주 적발된 사이버 위협 행위자는 중국의 사이버 간첩(espionage)으로 추정되는 ‘UNC5221′인 것으로 파악됐다.

맨디언트는 지난 2022년부터 서방 기업에 수천 명의 IT 노동자들을 원격 근무자로 취업시키기 위한 북한의 활동에 ‘UNC5267’이라는 코드명을 부여하고 이를 추적해왔다. 

보고서에 따르면 북한 IT 노동자들은 북한 당국을 위한 수익 창출을 목적으로 조작된 신원과 현지 조력자들을 이용해 고소득 일자리에 지원했고 금융 서비스, 통신, 언론과 문화, 소매, 기술 산업 등 다양한 분야에서 일한 것으로 전해졌다.

◇ 이메일에 '팬더(panda)' 등 특정 단어 자주 사용...러·중에 주로 거주

보고서에 따르면 서방 기업에 취업하는 과정에서 사기를 친 것을 제외하면 북한 IT 노동자들이 지난해 직접적으로 악의적 활동을 한 증거가 확인된 경우는 5건이 채 안 된다.

다만 이들이 원하는 최신 기술 관련 직종은 기업의 기반 시설(infrastructure)에 대한 접근이 필요하기 때문에 향후 갈취(extortion), 간첩 행위(espionage), 데이터 도난(data theft)등의 위험이 커질 수 있다고 보고서는 분석했다.

실제로 지난해 하반기에는 북한 IT 노동자들이 표적 기관의 독점 정보를 훔친 후 이러한 행위가 적발돼 해고되자 돈(ransom)을 주지 않으면 해당 정보를 공개하겠다고 위협한 사례가 최소 2차례 발생하기도 했다. 

북한 해커들은 이메일 주소나 도메인에 '팬더(panda)', '스타(star)', '실버(silver)', '선(sun)' 등 특정 단어나 숫자를 자주 사용하는 것으로 나타났다고 보고서는 설명했다. 또 이들이 거주하고 있는 곳은 주로 러시아나 중국이며, 몇 명은 아프리카나 동남아시아에 거주하고 있는 것으로 추정된다고 보고서는 밝혔다.

출처 : 자유일보(https://www.jayupress.com)