북한 해킹조직 라자루스가 올해 랜섬웨어 해킹 공격을 통해 금전을 요구하는 사례가 급증한 것으로 나타났다고 국제 사이버보안 업체들이 지적했습니다. 북한이 암호화폐 대체불가토큰(NFT)을 돈세탁 창구로 활용하는 경향이 두드러진다는 분석도 나왔습니다. 조상진 기자가 보도합니다.
영국에 본부를 둔 국제 사이버 보안업체 NCC 그룹은 25일 발표한 ‘월례 위협 보고서’에서 올해 북한 해킹조직 라자루스의 랜섬웨어 해킹 공격이 크게 늘었다고 밝혔습니다.
북한 당국이 컴퓨터 시스템을 감염시켜 접근을 제한한 뒤 이를 해제하는 대가로 일종의 몸값을 요구하는 악성 해킹 수법인 랜섬웨어 공격을 통해 외화 탈취에 나서고 있다는 것입니다.
보고서는 올해 초 전 세계에서 가장 악명 높았던 랜섬웨어 해킹단체였던 콘티(Conti)가 해체됐지만 오히려 랜섬웨어 해킹 피해 사례는 계속 증가하는 추세라고 지적했습니다.
특히 7월에만 전달 대비 47%가 급증해 전 세계적으로 모두 198건의 랜섬웨어 공격이 있었던 것으로 집계됐다고 전했습니다.
보고서는 거대 랜섬웨어 갱단으로 불렸던 콘티의 해체에도 이 같은 랜섬웨어 공격이 증가한 것은 새로운 위협 행위자들의 부상과 함께 새로운 운영방식에 정착하고 있는 다른 위협 행위자들이 존재하기 때문이라고 평가했습니다.
그러면서 북한 정권의 후원을 받는 해킹조직 라자루스가 보이고 있는 올해 해킹 추세에 주목했습니다.
보고서는 라자루스가 올해 초 수억 달러 규모의 암호화폐 탈취 공격을 벌이고, 랜섬웨어 공격 분야에서도 다시 두각을 나타내고 있다고 밝혔습니다.
특히 라자루스가 지난 3월 블록체인 비디오게임 액시인피티니틀 해킹해 6억 달러 규모의 암호화폐를 해킹한 사례를 언급했습니다.
이어 지난 6월 말 블록체인 플랫폼인 하모니 호라이즌 브릿지에서 약 1억 달러 규모의 암호화폐를 탈취한 사건도 지적했습니다.
보고서는 랜섬웨어 관련 라자루스의 활동 증가는 북한 경제가 다시 한번 위축되면서 북한이 불법적인 수익 창출 방법에 더 많이 의존하게 된 것과 관련이 있을 수 있다면서, 북한이 경제적 이유로 공격적인 사이버 작전에 더욱 집중하고 있다고 분석했습니다.
이어 미국 정부도 북한이 안정적으로 재정을 확보하기 위해 암호화폐 탈취와 랜섬웨어 해킹을 통한 이점을 노리고 있는 것으로 파악하고 있다고 분석했습니다.
그러면서 미국 국무부는 테러 정보 신고 포상 프로그램인 ‘정의에 대한 보상’을 통해 북한 라자루스의 악의적 사이버 활동에 대한 정보를 제공하는 사람에게 1천만 달러의 포상금을 지급하는 방식으로 대응하고 있다고 설명했습니다.
북한 해킹조직의 이 같은 암호화폐 탈취와 랜섬웨어를 통한 금융 탈취 활동 급증에 대해 NCC 그룹의 맷 헐 글로벌 위협 인텔리전스 본부장은 25일 VOA에, 최근 암호화폐 해킹과 랜섬웨어 공격을 연계한 해킹 공격이 크게 늘고 있다고 밝혔습니다.
[맷 헐 본부장] “Following two major cryptocurrency heists, Lazarus Group seem to be improving their crypto-theft and ransomware operations, so it is more important than ever to monitor their activity closely. Cryptocurrency organisations in the US, Japan and South Korea should remain on high alert.”
특히 라자루스 그룹은 올해 2건의 주요 암호화폐 강탈에 이어 암호화폐 도용과 랜섬웨어 해킹 부문에서도 활동이 증가하는 추세라면서, 이들의 활동을 면밀히 감시하는 것이 그 어느 때보다 중요하다고 지적했습니다.
아울러 미국과 일본, 한국의 암호화폐 기관들이 긴장의 끈을 늦춰서는 안된다고 강조했습니다.
이런 가운데 다국적 블록체인 분석업체인 엘립틱(Elliptic)은 이날 보고서를 통해 암호화폐 대체불가토큰(NFT)을 활용한 북한의 돈세탁 증가 추세를 지적했습니다.
NFT는 블록체인에 저장된 데이터 단위를 일컫는 것으로, 암호화 토큰처럼 작동하지만 비트코인과 같은 일반 암호화폐와는 달리 상호 교환이 불가능하며, 디지털 자산을 상업화하고 가치화하는 데 주로 사용됩니다.
보고서는 올해 NFT 생산과 구매, 판매를 촉진하는 플랫폼을 통해 탈취한 암호화폐를 자금 세탁하려는 범죄 시도가 늘었다고 지적했습니다.
특히 지난달에만 4천 600개 이상의 NFT가 도난 당했다며, 이는 2017년 엘립틱이 자체 데이터 추적을 시작한 이후 역대 최대 규모라고 밝혔습니다.
그러면서 NFT를 사용하는 플랫폼은 국제사회의 제재를 받고 있는 단체와 국가가 후원하는 해킹 조직으로부터 점점 더 많은 공격 위협에 직면해 있다고 지적하면서, 북한 라자루스를 예로 들었습니다.
보고서는 특히 북한이 암호화폐 돈세탁에 활용되는 믹서 업체 토네이도 캐시를 통해 4억 5천 500만 달러 상당의 암호화폐를 돈세탁했다는 미국 재무부 발표를 언급했습니다.
그러면서 이달 초 미 재무부가 믹서 업체 토네이도 캐시를 제재하기 전에 이미 토네이도 캐시가 전체 NFT 사기 수익의 절반 이상인 52%를 자금세탁하는 데 이용돼 왔다고 분석했습니다.
이에 대해 북한의 암호화폐와 랜섬웨어 해킹 공격을 추적해 온 트렐릭스의 크리스티안 비크 수석연구원은 25일 VOA에, 북한은 지난해부터 암호화폐 해킹과 작은 단위의 랜섬웨어 해킹을 연계해 특히 아시아 지역을 목표로 탈취 행위를 지속해왔다고 지적했습니다.
[녹취 : 비크 수석연구원] “I would say like these ransomware operations are some of those smaller operations we have been observing to get steal money for the game. We see smaller ransomware campaigns that are specifically targeting targets in the APAC region. So we found like a victim in Japan, who discovered the victim in Malaysia.”
비크 수석연구원은 북한이 최근 큰 규모의 암호화폐 탈취 활동과 함께 소규모의 랜섬웨어 해킹 공격을 병행하면서 보완적 사이버 해킹 공격을 펼치는 패턴을 보이고 있다고 분석했습니다.
특히 일본과 말레이시아 등 아시아 태평양 지역을 대상으로 북한 해킹조직의 흔적이 남은 해킹 피해 사례가 급증한 것을 추적해왔다고 지적했습니다.
비크 수석연구원은 북한이 대규모 암호화폐 탈취 후 자금 세탁 과정에서 걸리는 시간과 갈수록 강화되고 있는 암호화폐 분야 규제에서 오는 손실을 최소화하고 빠른 현금 확보를 위해서 랜섬웨어를 보완적 형태의 자금 확보 수익원으로 활용하고 있다고 말했습니다.
VOA 뉴스 조상진입니다.