"北 해커조직, 암호화폐 종사자에 '히든 리스크' 신종 해킹"

등록 2024.11.09 00:15:50수정 2024.11.09 10:10:15

北 정찰총국 라자루스 산하 블루노로프 등 의심

'히든 리스크' 명명…암호화폐 가짜뉴스로 유인

암호화폐 동향 뉴스 알림 위장 피싱 이메일 사용

[서울=뉴시스] 북한 해커조직이 암호화폐 산업 종사자들을 대상으로 피싱 이메일과 악성코드를 심어놓은 PDF파일을 이용한 '히든 리스크' 해킹 수법으로 자금을 탈취하려 한다는 분석이 제기됐다. (사진=뉴시스DB) 2024.11.08. *재판매 및 DB 금지

[서울=뉴시스]신정원 기자 = 북한 해커들이 암호화폐 산업에 종사하는 맥(Mac) 사용자들을 타깃으로 악성 소프트웨어(멀웨어)를 심어 자금을 탈취하려 하고 있다는 분석이 제기됐다.

사이버 보안회사 센티널랩스는 7일(현지시각) 보고서를 통해 "북한이 새로운 다단계 멀웨어를 이용해 암호화폐 관련 기업을 표적으로 삼는 것으로 의심되는 위협 요인을 관찰했다"고 밝혔다.

센티널랩스는 배후와 관련해 "우리는 동일한 행위자가 블루노로프(BlueNoroff)와 러스트도어/시프버킷(RustDoor/ThiefBucket), 러스트버킷(RustBucket)에 의한 이전 공격 배후에 책임이 있다고 확신한다"고 말했다.

블루노로프는 북한 정찰총국 해커그룹 라자루스 하위 조직이다.

작전명은 '히든 리스크'(Hidden Risk·숨겨진 위험)로 명명됐다.

먼저 암호화폐 동향에 관한 가짜뉴스를 전파하는 이메일을 보내고 PDF파일로 위장한 악성 애플리케이션을 열도록 유인해 대상을 감염시키는 수법이다.

'비트코인 가격의 새로운 급등 뒤에 숨겨진 위험''알트코인 시즌 2.0' 등과 같은 제목을 달았으며, 실제 인물의 이름을 도용해 암호화폐 소셜미디어 인플루언서가 보낸 메시지를 전달하는 것처럼 꾸민 것으로 나타났다. 한 PDF는 '비트코인 ETF : 기회와 위험'이란 제목의 텍사스대학 관련 학자의 실제 연구 논문을 모델로 삼기도 했다.

기존엔 소설미디어 이용자들을 그루밍하는 전략을 사용한 반면 7월부터 발견된 이 수법은 뉴스 알림으로 보이는 피싱 이메일을 사용한다.

새로운 멀웨어는 애플의 기본 보안 보호 기능을 교묘하게 우회한다고 한다. 보고서는 "해커는 합법적인 애플 개발자 ID로 소프트웨어에 서명해 macOS의 게이트키퍼 시스템을 회피할 수 있다"며 "일단 설치된 멀웨어는 숨겨진 시스템 파일을 사용해 컴퓨터를 재시작한 후에도 탐지되지 않고 해커가 제어하는 원격 서버와 통신한다"고 밝혔다.

암호화폐 산업이 탈중앙화되고 규제가 약하다는 점을 노린 것이란 분석이 나온다.

미 연방수사국(FBI)는 지난 9월 "북한 해커들이 탈중앙화 금융, 암호화폐 및 관련 산업 종사자들을 대상으로 악성코드를 배포하고 회사의 암호화폐를 훔치기 위해 고도로 맞춤화되고 탐지하기 어려운 사회공학적 해킹 활동을 하고 있다"고 경고했다.

◎공감언론 뉴시스 [email protected]