최근 미국 사이버보안 및 인프라 보안국(CISA) 및 다수의 기관이 북한 라자루스 조직이 트로이목마형 악성 소프트웨어로 가상화폐 시장을 위협하고 있다고 밝혔다.

18일(현지 시각) 미국 사이버보안 및 인프라 보안국(CISA), 연방수사국(FBI), 재무부 등은 북한 라자루스 조직이 트로이목마형 악성 소프트웨어로 가상화폐 산업을 공격하고 있다고 전했다. 특히 기업에 침투하기 위해 관련 종사자를 속이고, 악성 앱 설치를 유도하는 방식으로 접근하고 있어 관련 업계에 주의를 당부했다.

CISA는 최근 가상화폐 거래소, 디파이(DeFi, 탈중앙화 금융), P2E(Play to Earn) 게임, 가상화폐 투자사 등 블록체인과 가상화폐 분야 다양한 조직에서 북한의 사이버공격 시도를 찾아냈다. 북한은 사회공학적 기법을 사용해 가상화폐 관련 소프트웨어로 위장한 악성 소프트웨어를 유포하고, 관련 종사자가 직접 설치하도록 유도했다.

사회공학적 기법은 기술적인 해킹이 아닌, 사람 간의 신뢰를 기반으로 침투하는 공격 수법이다. 공격자는 피해자의 흥미를 끌만한 주제로 신뢰를 주고 접근하고, 시스템 침투에 용이한 정보를 얻거나 악성코드를 실행하도록 유도한다. 예를 들어, ‘연말정산 안내’ 등으로 위장한 피싱 이메일을 보내 정보를 캐거나 악성코드를 실행한다.

이러한 피싱 캠페인에 속아 이용자가 가짜 가상화폐 소프트웨어를 설치하면, 공격자는 이용자 PC에 접근해 각종 정보를 빼가고 기업 네트워크 전체에 악성코드를 확산시킨다.

CISA는 해당 공격 수법이 이전에 식별된 라자루스 조직과 비슷하다고 전했다. 해당 조직은 4월 현재 악성코드 유포를 기반으로 가상화폐를 탈취하는 스피어피싱(표적형 피싱) 공격 캠페인을 펼치고 있고 이용자를 속이기 위해 ‘고임금 일자리’를 제안해 피싱을 유도하고 있다.

구체적인 유형으로, 자신을 인공지능 기반 가상화폐투자 분석 기업 ‘CryptAIS’라고 소개해 분석·거래용 소프트웨어 설치를 유도한다. 해당 악성 소프트웨어가 실행되면 소프트웨어는 명령제어서버에서 추가적인 명령어를 내려받고, 악성 행위가 드러나지 않도록 일주일가량 침투 작업을 진행하는 사례도 존재한다. 이에 현재 미국 정부는 악성 소프트웨어 유포 사이트 6곳을 모두 패쇄 조치했다. 그러나 가상화폐 거래소와 관련 업계 또한 북한 해킹을 막기 위한 다양한 방안을 고사해야 할 필요가 있다.

한편, 지난 14일(현지 시각) 가상자산 정보사이트 코인데스트는 미국 재무부가 엑시 인피니티의 해킹에 라자루스가 연루됐다고 분석하고 해당 단체와 연결된 가상자산 이더리움(Ethereum, ETH)의 지갑 주소를 제재 목록에 추가했다고 보도한 바 있다.

더욱 다양한 정보 및 방송 관련 소식은

공식 SNS 채널을 통해 확인 가능합니다.