북한 해킹조직이 최근 미국의 정보기술(IT) 업체를 해킹해 ‘공급망 공격’을 시도했다고 미국의 사이버 보안업체들이 밝혔습니다. 한 번의 해킹으로 여러 곳을 공격해 암호화폐를 탈취하는 수법입니다. 조상진 기자가 보도합니다.
최근 정체불명의 해킹 조직으로부터 자사 네트워크 침투 공격을 받았다고 발표했던 미국의 정보기술(IT) 업체 ‘점프클라우드(JumpCloud)’가 북한을 해킹 배후로 지목했습니다.
[점프클라우드 홍보 담당관] “JumpCloud recently experienced a cybersecurity incident that impacted a small and specific set of our customers. Upon detecting the incident, we immediately took action based on our incident response plan to mitigate the threat, secure our network and perimeter, communicate with our customers, and engage law enforcement. We identified and CrowdStrike confirmed the nation-state actor involved was North Korea. We continue our ongoing investigation with US federal law enforcement and CrowdStrike.”
점프클라우드 홍보 담당관은 24일 VOA의 관련 서면 질의에 “최근 일부 특정 고객에게 영향을 미치는 사이버 보안 사고가 발생했다”면서 사고를 감지한 즉시 대응 계획에 따라 조치하고 사법 당국과 협력했다고 답했습니다.
그러면서 “점프클라우드와 사이버 분석 기업 크라우드스트라이크는 (해킹) 공격에 관여한 국가 행위자가 북한임을 확인했다”고 밝혔습니다.
이어 “우리는 미국 연방 사법 당국 및 크라우드스트라이크 측과 함께 지속적인 조사를 진행하고 있다”고 강조했습니다.
점프클라우드는 고객사 네트워크의 장치·서버 관리 지원 제품을 만드는 IT 관련 업체입니다.
앞서 이 업체는 지난 12일 미상의 해킹조직이 지난달 말 자사 네트워크에 침투해 5곳 미만의 고객사가 영향을 받았다고 밝혔습니다.
해커들이 점프클라우드의 네트워크에 침투 후 이를 발판 삼아 가상화폐 업체들에서 가상화폐를 훔치는 식의 이른바 '공급망 공격(supply chain attack)’을 시도하다 적발된 것으로 전해졌습니다.
점프클라우드의 의뢰를 받아 이번 사건을 조사하고 있는 복수의 사이버 보안기업도 이번 사건의 배후로 북한을 지목했습니다.
사이버 보안기업 크라우드스트라이크 대외협력팀은 이날 VOA의 서면 질의에 “현재 조사가 진행 중인 사안”이라며 구체적 답변을 피하면서도 해킹 공격에 관여한 주체는 북한 해킹 조직 ‘미로 천리마’로 추정하고 있다고 답했습니다.
앞서 이 업체의 애덤 마이어스 정보 담당 부사장은 지난 20일 로이터통신에 이번 해킹 공격의 배후로 북한의 ‘미로 천리마’를 지목하면서 “이들의 주요 목표는 정권을 위한 수익 창출로 북한이 올해 추가적인 공급망 공격을 할 가능성이 있다”고 밝힌 바 있습니다.
미로 천리마는 북한 정찰총국의 지휘를 받는 ‘라자루스 조직’의 하부 조직으로 알려졌습니다.
이번 사건 조사에 참여하고 있는 또 다른 사이버 분석 기업인 ‘맨디언트’는 이날 VOA의 관련 서면 질의에 “이번 해킹 공격을 북한과 연계된 UNC4899의 소행으로 보고 있다”고 밝혔습니다.
[맨디언트 공보팀] “Mandiant attributed these intrusions to UNC4899, a Democratic People's Republic of Korea (DPRK)-nexus actor, with a history of targeting companies within the cryptocurrency vertical. Mandiant assesses with high confidence that UNC4899 is a cryptocurrency-focused element within the DPRK's Reconnaissance General Bureau (RGB). Based on reporting from trusted partners, UNC4899 likely corresponds to TraderTraitor, a financially motivated DPRK threat group that primarily targets blockchain-related companies.”
맨디언트 측은 “UNC4899가 북한 정찰총국 내 암호화폐 분야에 중점을 둔 조직이라고 자신있게 평가한다”면서 이 조직이 주로 암호화폐 관련 기업을 표적으로 삼는 금전적 동기를 가진 북한 위협 그룹일 가능성이 크다고 분석했습니다.
맨디언트는 이번 해킹 과정에서 위협 행위자가 실수로 IP주소를 노출했다며 평양 류경동 소재 IP에서 로그인한 것을 확인했다고 설명했습니다.
그러면서 북한 해킹조직이 암호화폐 기업을 직접 공격하던 과거 방식에서 벗어나 서비스 공급업체에 침투해 고객사 등 연계 단체를 해킹하는 ‘공급망 공격’을 통해 한 번에 여러 곳을 해킹 공격하는 수법을 활용하고 있다고 지적했습니다.
‘공급망 공격’이란 기업이나 조직의 네트워크에 침투해 제품이나 서비스를 제공하는 데 필요한 소프트웨어 등 공급망 시스템을 해킹하는 것입니다. 이 방식을 통해 기업과 연계된 모든 계열사 및 고객사, 관계 기관까지 악성코드 유포 및 정보 탈취의 해킹 피해에 노출될 수 있습니다.
미국 정부도 북한의 ‘공급망 공격’을 통한 암호화폐 해킹 공격에 대해 경각심을 가져왔습니다.
백악관 국가안보회의(NSC)의 앤 뉴버거 사이버·신기술 담당 부보좌관은 지난 5월 워싱턴의 민간연구단체가 주최한 대담에 참석해 북한이 암호화폐 거래소 해킹이나 공급망 공격을 통해 암호화폐 탈취를 목적으로 하고 있다고 지적했습니다.
[녹취: 뉴버거 부보좌관] ““I look at a problem set that we're putting a lot of time and thought into which is the fact that the North Koreans fundamentally are funding we estimate half of their missile program by crypto and cyber efforts.”
그러면서 “북한이 근본적으로 암호화폐와 사이버 노력을 통해 미사일 프로그램 자금의 절반을 조달하고 있는 것으로 추정하고 있다”고 지적했습니다.
미국 법무부의 매튜 올슨 국가안보 담당 차관보도 지난달 ‘후버 연구소’ 토론회에서 북한이 불법적으로 취득한 암호화폐가 북한의 미사일 프로그램 지원에 사용되고 있다고 지적했습니다.
[녹취: 올슨 차관보] “"North Korea is turning to illicit cyber activities to steal the funds and technical knowledge it needs to further its military aspirations and Weapons of Mass Destruction (WMD) programs.”
올슨 차관보는 북한이 대량살상무기 프로그램 추진에 필요한 자금과 기술을 탈취하기 위해 핵심 인프라를 위험에 빠뜨리는 해킹 공격 등 악의적 사이버 활동에 주목하고 있다고 밝혔습니다.
VOA 뉴스 조상진입니다.