북한 정찰총국 산하 해킹그룹이 최근 미국 민간기업들을 겨냥한 공격을 지속하고 있다는 경고가 나왔습니다. 미국의 사이버 보안업체는 북한 해커들이 지난 8월 최소 3개의 미국 기업을 공격했으며, 금전적 이익을 노린 활동을 계속하고 있다고 밝혔습니다. 조은정 기자가 보도합니다.
Your browser doesn’t support HTML5
미국의 사이버 보안 회사인 시만텍은 2일 발표한 보고서에서 북한과 연계된 해킹그룹 ‘스톤플라이’가 8월에 최소 3곳의 미국 민간기업을 공격한 증거를 발견했다고 밝혔습니다.
시만텍은 자사 웹사이트를 통해 스톤플라이가 “기소와 수백만 달러의 현상금에도 불구하고 여전히 미국 기관에 금전적 동기를 가진 공격을 이어가고 있다”고 지적했습니다.
[보고서] “Symantec’s Threat Hunter Team has found evidence that the North Korean Stonefly group (aka Andariel, APT45, Silent Chollima, Onyx Sleet) is continuing to mount financially motivated attacks against organizations in the U.S., despite being the subject of an indictment and a multi-million dollar reward.”
이번 공격에서 스톤플라이가 사용하는 맞춤형 악성 프로그램 ‘프레프(Backdoor.Preft)’가 사용된 것으로 확인됐습니다.
스톤플라이는 북한 정찰총국 산하 해킹그룹으로, 안다리엘, APT45, 사일런트 천리마, 오닉스 슬리트 등으로도 불립니다.
미국 연방수사국(FBI)은 지난 7월 이 그룹 소속 해커 림종혁을 컴퓨터 해킹 및 돈세탁 공모 등의 혐의로 기소하고 체포 영장을 발부했습니다.
국무부는 림종혁의 신원이나 위치에 대한 정보를 제공하는 사람에게 최대 1천만 달러의 보상금을 제시하고 있습니다.
또한, 미 재무부는 2019년 ‘라자루스 그룹’과 ‘블루노로프’와 함께 안다리엘을 북한 정부가 지원하는 3대 해킹 조직으로 지정하고 특별제재 대상으로 삼았습니다.
시만텍은 이번 공격에서 해커들이 피해 조직의 네트워크에 랜섬웨어를 배포하는 데는 실패했지만, 금전적 동기를 가진 공격이었을 가능성이 높다고 평가했습니다.
[보고서] “While the attackers didn’t succeed in deploying ransomware on the networks of any of the organizations affected, it is likely that the attacks were financially motivated. All the victims were private companies and involved in businesses with no obvious intelligence value.”
또한 “피해 조직들은 모두 정보 가치가 없는 민간 기업들이었다”고 덧붙였습니다.
스톤플라이는 최근 금전적 목적의 공격을 시작했으며, 앞으로도 미국 내 조직을 대상으로 자산 탈취 시도를 계속할 가능성이 크다고 시만텍은 분석했습니다.
스톤플라이는 본래 군사 정보 탈취에 특화된 해킹 그룹으로 알려져 있습니다.
그러나 시만텍은 이 그룹이 최근 몇 년간 역량을 눈에 띄게 강화하고 있으며, 2019년부터 고가치 표적에 대한 스파이 활동으로 초점을 옮겼다고 밝혔습니다.
[보고서] “In recent years, the group’s capabilities have grown markedly and, since at least 2019, Symantec has seen its focus shift mainly to espionage operations against select, high-value targets. It appears to specialize in targeting organizations that hold classified or highly sensitive information or intellectual property.”
또한 “이 그룹은 기밀 또는 민감한 정보나 지적 재산을 보유한 조직들을 주로 표적으로 삼고 있는 것으로 보인다”고 덧붙였습니다.
시만텍에 따르면 스톤플라이는 2009년 7월 한국과 미국 정부, 금융 사이트를 대상으로 한 분산서비스거부(DDoS) 공격으로 처음 알려졌습니다.
2011년에도 디도스 공격을 벌였으며, 이때부터 이 그룹이 지능적인 백도어 프로그램을 사용하는 것이 드러났습니다.
2013년 3월에는 한국 은행과 방송사를 공격했으며, 3개월 뒤에는 다시 한국 정부를 겨냥해 디도스 공격을 벌였습니다.
VOA 뉴스 조은정입니다.