북한 해킹조직이 에스토니아 암호화폐 기업의 직원을 가짜 면접으로 유인해 내부 연결망에 악성코드를 유포하도록 한 것으로 나타났습니다. 이를 통해 3천 700만 달러 상당의 암호화폐를 탈취해 간 것으로 파악됐습니다. 조상진 기자가 보도합니다.

에스토니아의 암호화폐 기업 ‘코인스페이드(CoinsPaid)’가 최근 자사 암호화폐 탈취 공격의 배후로 북한 정찰총국 산하 해킹조직 ‘라자루스’를 지목했습니다.

암호화폐 환전 관련 업무를 대행하는 코인스페이드는 7일 자사 홈페이지를 통해 지난달 22일 발생한 암호화폐 도난 사건의 자체 조사결과를 발표하고, “해킹 공격자들이 또 다른 에스토니아 소재 탈중앙형 암호화폐 지갑 서비스 ‘아토믹 월렛’에서 사용된 것과 동일한 전술과 자금 세탁 계획을 사용했다”면서 이같이 밝혔습니다.

[코인스페이드] “Based on our internal investigation, we have reasons to suspect that the top-tier hacker group Lazarus may be behind the attack on CoinsPaid. The hackers employed the same tactics and money laundering schemes that Lazarus had used in the recent Atomic Wallet heist.”

코인스페이드 측은 조사 결과 라자루스가 올해 3월부터 자사 시스템의 취약점을 찾기 위해 침투해왔으며, 내부 직원과 고객 계정에 대한 접근 권한을 취득하기 위해 10여 차례에 거쳐 스피어 피싱 공격 등을 자행했다고 지적했습니다.

그러면서 해킹 공격자들의 주요 목표는 고위 임직원을 속여 소프트웨어를 설치하도록 유도해 컴퓨터를 원격으로 제어하고 코인스페이드 내부 시스템에 침투해 접근하기 위한 것이었다며, 6개월 간의 실패 끝에 지난달 22일에 내부 인프라 해킹에 성공했다고 분석했습니다.

[코인스페이드] “The perpetrators’ main goal was to trick a critical employee into installing software to gain remote control of a computer for the purpose of infiltrating and accessing CoinsPaid's internal systems. After 6 months of failed attempts, the hackers managed to attack our infrastructure on July 22, 2023, successfully.”

특히 북한 라자루스가 수차례의 침투 공격이 무위로 돌아가자 개인에게 접근해 정보를 빼내는 사회공학적 해킹 방식으로 전환했다며, 이들이 구인 사회연결망 서비스 ‘링크드인’에 구인광고를 내고 가짜 면접을 통해 고액의 연봉을 제시하며 코인스페이드 직원을 유인하는 방식을 취했다고 설명했습니다.

이어 이 가짜 채용 제안에 응한 직원 한 명이 면접 중 악성코드가 포함된 애플리케이션을 설치하라는 과제를 수행하면서 이를 통해 악성 행위자들이 내부 망에 접근 권한을 부여 받았다고 덧붙였습니다.

코인스페이드 측은 “공격자는 코인스페이드의 인프라에 대한 접근 권한을 얻은 후 취약성을 이용해 백도어 공격을 감행했다” 면서 이들이 탐색 단계에서 얻은 지식을 바탕으로 블록체인과의 상호 작용을 통해 회사의 암호화폐 자금 약 3천 730만 달러를 인출할 수 있었다고 밝혔습니다.

코인스페이드는 앞서 지난달 26일에도 자사 홈페이지에 올린 입장문을 통해 미화3천 730만 달러 도난 사건을 북한 라자루스 그룹의 소행으로 추정한다고 밝혔었습니다.

그러면서 국제 사이버 보안기업들과 협력해 공격 배후를 추적하고 대응 조치를 강화할 것이라고 밝힌 바 있습니다.

북한은 최근 해킹 수법을 다양화하면서 기존 스피어 피싱과 악성코드 유포 등의 해킹에 더해 개인에게 접근해 정보를 탈취하는 ‘사회공학적 해킹’을 시도하는 횟수가 늘고 잇습니다.

미국 정부는 앞서 지난 6월 한국 정부 당국과 함께 합동 사이버주의보를 발표하고, “북한 정권과 연계된 사이버 행위자들이 전 세계의 연구소와 싱크탱크, 학술기관과 언론사 관계자들을 대상으로 사회공학적 기법을 악용한 컴퓨터 네트워크 탈취 공격을 벌이고 있다”고 지적했습니다.

그러면서 “북한의 공격 대상은 사적인 문서와 연구 결과 및 통신 내용에 불법적으로 접근해 지정학적 사안들, 외교정책 및 전략, 그리고 북한 정권의 이익에 영향을 주는 사안들에 대한 정보를 수집하기 위해 사회공학적 기법을 악용한다”고 강조한 바 있습니다.

미국의 민간연구소인 ‘발렌스 글로벌’의 매튜 하 연구원은 8일 VOA와의 전화통화에서 북한은 암호화폐 회사나 사이버 보안 회사 등을 겨냥하면서 관련 분야 동향을 더욱 자세히 탐색하고 있다며, 최근 사회공학적 해킹 기법을 더욱 적극적으로 이용하려는 움직임을 보이고 있다고 지적했습니다.

[녹취: 매튜 하 연구원] “Whether they're targeting, a crypto company or a cybersecurity company they can learn more about what it's like to navigate through these fields and build up that repertoire to create these opportunities or just to learn more about potential vulnerability.”

그러면서 특히 북한은 암호화폐 공간의 잠재적 보안 취약성에 대해 더 자세히 알아보면서 기회를 엿보기 위해 사회공학적 해킹 기법을 개발하고 있는 만큼, 이에 대한 정부 차원의 제재와 민간 차원의 주의 노력이 필요하다고 강조했습니다.