[북한 이슈 인터뷰 내용]北, 가상화폐 거래소와 채굴형 악성코드 공격 ‘총력전’

[ IntelligenceSecurityCERT 북한 이슈 인터뷰/제보/분석 내용]

북 추정 해커, 비트코인·라이트코인·모네로 등 신생 코인에도 손 뻗쳐 
소니픽처스 해커가 사용한 악성코드와 유사...이미 수년전부터 공격 시도
가상화폐 거래소 후원 받아 방북한 로드맨 이슈와의 연관성 의혹도 제기

[보안뉴스 김경애 기자] 가상화폐 거래소를 노린 북한의 공격이 끊이지 않고 활개를 치는 양상이다. 금전적 이득을 취하기 위한 공격이 국내외 가상화폐 거래소 곳곳에서 탐지되고 있다. 

[이미지 = iclickart]

27일 한 보안전문가는 “북한 해커가 비트코인, 라이트코인, 모네로 등 메이저 코인뿐만 아니라 ICO 이후 상장하면 수십배 뛰어오르는 신생 코인에도 광범위하게 손을 뻗치고 있다”며 “금전 취득을 목적으로 한 해킹에 주력하고 있다”고 밝혔다.

가상화폐를 노린 공격 방법은 사전에 가상화폐 거래소나 가상화폐 관련 정보를 수집한 다음 이를 소스로 이용자들을 속이기 쉽게 사화공학적 기법을 접목시켜 각종 스피어피싱 메일을 발송하거나 APT 공격을 감행하는 방식이다. 

이와 관련 한국인터넷진흥원 이동근 단장은 “북한의 사이버공격은 스피어피싱과 APT 공격이 주를 이룬다”며 “공격대상의 경우 기존에는 방산 쪽에 치중했으나 민간으로는 넘어오면서 인터파크처럼 개인정보 탈취와 같은 금전적 이득을 취할 수 있는 곳과 최근에는 가상화폐거래소로 이어지고 있다. 이전보다 금전적 취득 목적이 강화된 양상”이라고 말했다. 

또한, 모의침투연구회 관계자는 “가상화폐가 북한의 주요 타깃이 되는 이유로는 유엔의 제재 여파와 충성심 경쟁에 있다”며 “SNS를 통해 가상화폐 정보 동향을 수집하고 가상화폐 거래소를 주요 타깃으로 삼아 스피어피싱 공격을 지속적으로 시도하고 있다”고 말했다.

해외에서도 북한의 가상화폐 거래소 공격은 큰 화두다. 글로벌 보안업체 파이어아이(FireEye)는 북한에게 비트코인과 가상화폐는 대북제재 이후 더 매력적인 통화 수단이 되고 있다고 밝힌 바 있다. 

파이어아이(FireEye) 아태 총괄인 브라이스 볼랜드(Bryce Boland) CTO는 “북한의 제재 조치는 사이버 범죄의 활동을 촉진할 것”이라며 “가상화폐 거래소 공격은 궁극적으로 금전적 탈취를 위한 이들의 훌륭한 수단이 될 수 있다”고 말했다. 핵무기 프로그램에 대한 국제 제재가 점점 더 심해짐에 따라 북한이 돈을 벌어들이는 불법적 수단의 한 사례일 뿐이라고 덧붙였다.

그렇다면 이들은 언제부터 가상화폐를 노리고 공격한 것일까? 이에 대해 보안전문가들은 북한의 가상화폐를 노린 공격은 이미 수년전부터 활발하게 이뤄졌다고 입을 모았다.

국내의 경우 가상화폐가 대중화되지 않던 초창기 시절부터 특정 가상화폐 거래소 대표에 대한 사전정보를 입수했고, 주요 공격 타깃으로 삼고 있다는 분석도 나오고 있다. 여기에는 국내에 유포된 랜섬웨어와도 상관관계가 있는 것으로 알려졌다. 익명을 요청한 한 보안전문가는 “국내에 가상화폐 거래소가 생기면서 랜섬웨어가 활개를 쳤다”며 “랜섬웨어는 외국에서나 통하는 악성코드로 국내에는 크게 문제가 되지 않았다. 그러다 가상화폐와 만나며 폭발적으로 급증했다”고 밝혔다. 

또한, 영화배우이자 전 농구선수인 데니스 로드맨(Dennis Rodman)을 언급하며, 북한은 일찌감치 가상화폐를 활용했다는 분석을 내놓았다. 이는 로드맨이 지난 2013년 북한을 방문했을 때 입었던 티셔츠와 트위터 글이 떠올리게 하는 대목이다. 

당시 로드맨은 대마초를 합법적으로 구매할 수 있는 암호화된 전자화폐 회사인 팟코인닷컴(potcoin.com)이 새겨진 검은색 티셔츠를 입었으며, 그는 트위터에 ‘후원해준 파코인닷컴에 고맙다’(I’m back! Thanks to my sponsor Potcoin.com)는 글을 올렸다. 

[이미지=팟코인(Potcoin)홈페이지]

이와 관련 익명의 보안전문가는 “농구선수 로드맨이 팟코인의 후원을 받아 북한에 방문했다”며 “사전에 호텔에서 팟코인이 새겨진 티셔츠를 입고 나오기로 사전에 합의한 것으로 알고 있다. 왜 그 회사가 북한에 방문하는 로그맨을 후원했는지 주목해야 한다. 이미 북한은 이전부터 자금추적이 쉽지 않은 가상화폐를 활발히 활용해온 데다가 북한이 팟코인의 VIP 고객이거나 연관성이 높을 가능성이 있다”고 말했다. 

보안업계 관계자는 “3.20 전산망 장애를 일으킨 그룹은 이미 2014년에 가상화폐를 채굴하는 악성코드를 배포한 적이 있다”며 “당시에는 실험단계였다면 소니픽쳐스 공격조직의 경우에는 2017년 국내 가상화폐 거래소를 본격적으로 공격한 것으로 보인다. 이는 소니픽쳐스 공격에 사용된 악성코드와 비슷한 악성코드가 국내 비트코인 거래서 공격에서도 사용됐기 때문이다. 이는 최근 나온 프루프포인트와 앞서 발표된 파이어아이 보고서에서 가상화폐 거래소 공격 배후로 북한을 지목하고 있는 것만 봐도 알 수 있다”고 귀띔했다. 

이에 따라 2018년은 채굴형 악성코드가 유행할 것으로 전망되고 있다. 기존의 랜섬웨어는 돈을 받는 걸 노렸다면, 내년부터는 돈을 직접 만들 수 있는 채굴형 악성코드가 유행할 것으로 보인다. 1년에 1~2건 정도 발견됐던 리눅스형 악성코드가 최근 들어 급증하고 있는 것도 기존 랜섬웨어와 달리 가상화폐를 직접 채굴하는 악성코드 감염과 관계가 깊다고 볼 수 있다. 

극동대학교 박원형 교수는 “가상화폐 출현과 같은 새로운 패러다임의 변화는 북한 해커가 금전적인 이익을 직접 획득하는 시대로 진입하고 있다는 증거”라며 “향후 비트코인과 같은 가상화폐를 직접 얻을 수 있는 채굴형 악성코드의 창궐은 PC 성능 저하를 통해 정부부처 및 공공기관 뿐만 아니라 기업의 전산망을 교란하거나 마비시킬 수도 있다는 의미다. 이를 통해 북한은 사회적 혼란과 금전적 이익을 모두 달성할 것으로 보인다. 이에 대응하기 위해서는 공공기관과 기업의 전산망 보호조치와 개인의 PC 보안 강화가 시급하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

IntelligenceSecurityCERT