미 보안업체 “북 해킹그룹, 악성코드 '트릭봇'과 연관성”

해킹 공격에 이용되는 악성코드를 띄워놓은 노트북 컴퓨터 화면.

북한의 통제를 받는 것으로 알려진 해킹 그룹 ‘라자루스’가 러시아어를 사용하는 사이버 범죄자들과 관련이 있다고 지적한 보고서가 나왔습니다. 이들이 악성 소프트웨어의 제작과 유통에 서로 연관돼 있다는 주장입니다. 오택성 기자입니다.

미국 사이버 보안업체 ‘인텔 471’은 16일 공개한 보고서를 통해, 북한 해킹 조직인 라자루스와 러시아어를 사용하는 사이버 범죄자들이 운영하는 ‘트릭봇’ 사이의 연관성이 발견됐다고 밝혔습니다.

북한 정권의 통제를 받는 것으로 알려진 ‘라자루스’는 온라인 은행과 가상화폐 거래소 해킹 등을 통해 조직적인 외화벌이를 수행하는 것으로 알려졌습니다. 이들은 지난해 미 재무부 해외자산통제실에 의해 특별제재대상으로 지정됐습니다.

보고서는 ‘트릭봇’은 러시아어를 사용하는 사이버 범죄자들이 운영하는 ‘멀웨어 제공 서비스’라고 설명했습니다.

멀웨어란 악성 소프트웨어(Malicious Software)의 약자로, 다른 사용자의 컴퓨터 시스템에 침투하기 위해 설계된 바이러스 등을 의미합니다.

보고서는 ‘트릭봇’ 서비스는 ‘사이버 범죄 암시장’(Cybercriminal Underground)에서 거래된다며, 트릭봇 운영자 혹은 고객에게는 아무나 접근할 수 없다고 설명했습니다.

트릭봇의 운영자나 고객에 대한 접근은 암시장에서 악성 사이버 제품의 판매와 구매 등 수년 간의 활동을 통해 평판을 얻은 뒤에야 할 수 있는 매우 어려운 일이라는 겁니다.

보고서는 북한의 위협 행위자들이 트릭봇의 운영자 혹은 고객과 의사소통을 할 수 있는 능력이 있다는 것은 라자루스가 이들과 접촉하고 있음을 보여준다고 강조했습니다.

또 북한 위협 행위자들과 이들 러시아어를 이용하는 사이버 범죄자들 사이의 연관성은 프랑스의 정보보안 업체 ‘렉스포’ 보고서와 국제 보안 업체 ‘NTT 시큐리티’ 등 다른 보고서에서도 지적됐다고 설명했습니다.

그러면서 자신들은 더 많은 증거를 확보했다며, 이 증거에는 북한이 개발한 멀웨어가 러시아어 사용 사이버 범죄자들을 통해 유통되는 것을 포함한다고 덧붙였습니다.

하지만 트릭봇 감염 자체를 온전히 북한의 소행으로 보기에는 충분한 증거가 없다고, 보고서는 덧붙였습니다.

보고서는 또, 북한 위협 행위자들이 사이버 범죄 암시장에서 트릭봇과 연관성이 있다는 것은 이들이 암시장에서 신뢰할 수 있는 '일류 범죄자'로 인식되는 것을 의미한다며 이들이 단지 트릭봇뿐만 아니라 다른 접근 소스를 확보한 것으로 볼 수 있다고 밝혔습니다.

VOA뉴스 오택성입니다.