“빗썸 해킹, ‘북한 소행’ 가능성 크다…타 거래소 해킹도”

 

최근 암호화폐 거래소 빗썸 해킹 공격은 북한 소행일 가능성이 크다는 분석이 제기됐다. 작년부터 이어진 다른 거래소의 해킹 역시 북한 해커 조직일 가능성도 함께 제기됐다.

 

26일 국내 보안전문 한 매체에 따르면, 최근 한국 전문가들은 G20 국제금융체제 실무그룹회의(G20 International Financial Architecture Working Group Meeting)와 관련된 것처럼 위장된 문서를 발견해 보안 업체 에얼리언볼트(AlientVault) 등과 함께 분석했는데, 이 과정에서 빗썸에서 발생한 3천 1백 5십만 달러 암호화폐 도난 사건과 관련된 것으로 의심되는 문서가 함께 발견됐다.

 

에얼리언볼트(AlientVault) 등은 공동 연구·분석을 통해 북한의 해킹 조직 라자루스 그룹(Lazarus Group)이 특정 악성코드가 숨겨진 위장된 HWP 문서를 이메일로 빗썸에 보내 다운로드를 유도하고 사용자 PC를 악성코드에 감염시킨 것으로 보고 있다.

 

해킹 조직이 사용한 악성코드는 매뉴스크립트(Manuscrypt)라는 멀웨어로, 한국의 포럼 소프트웨어를 흉내 내는 방식으로 만들어 졌으며, 주요 기능은 공격을 가한 네트워크 내에서 오랜 시간 머물며 익스플로잇을 지속시키는 것이라고 한다.

 

또 다른 보안 업체 맥아피(McAfee)는 라자루스 그룹을 히든 코브라(Hidden Cobra)라고 부르며, 매뉴스크립트를 뱅크샷(Bankshot)이라고 부른다. 터키의 금융권을 겨냥한 지난 3월 공격에서 발견된 바 있다. 맥아피는 “여기에 더해 시스템에 대한 완전 접근과 콘텐츠 삭제 기능도 가지고 있다”고 설명했다.

 

라자루스 그룹이 매뉴스크립트를 사용한다는 보고는 이번에 처음이 아니며, 국제 은행 간 통신 시스템인 SWIFT를 공격한 전적이 있는 것으로도 알려져 있다. 초기 매뉴스크립트 멀웨어는 SWIFT와 관련이 있는 특정 호스트들을 검색하는 기능을 가지고 있기도 했다. 네임드파이프(NamedPipe)라는 파일 공유 기능을 사용해 분리된 내부 네트워크에서 데이터를 찾아내고, C&C 서버로 전송했다고 한다.

 

더 큰 문제는 북한 라자루스 그룹의 해킹 공격이 더 광범위하고 지속적으로 이루어졌을 가능성이 높다는 데 있다. 그들의 해킹 공격은 지난달과 이번 달, 악성 HWP 파일들로부터 시작했다고 분석되고 있으며, 에얼리언볼트는 라자루스가 여러 암호화폐 거래소를 노렸을 가능성이 높다고 밝혔다. KBS는 해당 멀웨어 샘플이 또 다른 암호화폐 거래소들로도 전송됐다는 보도를 내기도 했다.

 

매체에 따르면, 올해 초 라자루스 그룹은 악성 HWP 문서를 한국의 암호화페 거래소들로 대량 보낸 전적이 있다. 당시는 여러 개의 피싱 도메인들이 활용됐다. 이 도메인들의 등록자 정보 중 전화번호가 모두 일치했다. 라자루스 그룹이 멀웨어 전파는 물론 주요 크리덴셜을 탈취하려는 것처럼 보였다.

 

에얼리언볼트는 “라자루스 그룹이 도메인을 등록하는 건 매우 드문 일”이라며, “일반적으로는 정상적인 웹사이트를 침해하는 게 이들의 수법”이라고 설명했다. 매우 드문 형태의 공격을 실행했다는 것으로, “정말 라자루스라면 예외적인 기록이 될 것”이라고 분석했다.

 

매체는 또, 빗썸 공격의 배후에 정말로 라자루스 그룹이 있는 거라면, 여러 가지 사건을 라자루스에 연결시키는 게 가능하다고 전했다.

 

이에 따르면, 특히 작년에 한국 암호화폐 거래소를 중심으로 발생한 여러 탈취 사건이 여기에 포함된다. 한국 외에도 라자루스는 이미 방글라데시중앙은행에서 10억 달러를 턴 것으로 의심받고 있으며, 워너크라이(WannaCry) 사태와 소니 픽처스 해킹 공격의 배후 세력인 것이 정설화 된 상태다.

 

보다 최근에는 칠레 은행으로부터 1천만 달러를 훔쳤고, 그 과정에서 장비 수천 대를 고장냈다. 에얼리언볼트는 “한국의 조직들을 공격할 경우 북한이 가져가는 이득은 ‘가장 가까운 경쟁자의 약화’까지 유발하므로 두 배가 된다”며 “항상 경계를 늦추지 말아야 한다”고 권고했다.