북한, 신종 랜섬웨어 ‘류크(Ryuk)’로 약 7억 탈취
북한, 신종 랜섬웨어 ‘류크(Ryuk)’로 약 7억 탈취
  • 김상욱 대기자
  • 승인 2018.08.31 09:42
  • 댓글 0
이 기사를 공유합니다

8월에 등장한 ‘류크(Ryuk)' 지속적인 해킹시도(APT)로 매우 위험

▲ 체크포인트는 이 ‘류크’가 “맞춤형 공격을 위해 특별히 제작된 ‘랜섬웨어’이어서 매우 위험하다”며 “추가 피해가 발생할 가능성이 높아 피해 금액이 64만 달러를 넘을 수 있다”고 경고했다. ⓒ뉴스타운

해킹 기술이 상당한 수준으로 알려진 북한 해커 집단이 이번에는 새로운 랜섬웨어(Ransomware)로 미국을 포함한 전 세계에서 단 2주 동안에 64만 달러(약 7억 1300만 원) 이상을 탈취해 간 것으로 알려졌다.

다국적 보안업체인 체크포인트(이스라엘에 본부)의 산하 연구소(Check Point Research)'가 최근 이 같은 사실을 공개하고, “미국과 전 세계에서 최근 새로운 랜섬웨어인 류크 공격(Ryuk Campaign)'으로 단 2주 만에 64만 달러 이상의 피해가 발생했다고 밝혔다.

신종 랜섬웨어인 ‘류크’는 8월 중순부터 전 세계 기업들을 대상으로 피해자들의 컴퓨터에 침입해 감염시킨 후, 컴퓨터 복구에 대한 대가를 가상화폐인 비트코인(Bitcoin)으로 받았다는 것이다.

신종 악성코드에 의한 이번 공격으로 한 기업은 50비트코인, 약 32만 달러의 피해를 입은 것으로 알려졌다.

체크포인트는 “이번 신종 공격이 북한의 대표적인 해커집단으로 알려진 ‘라자루스(Lazarus)와 연관되어 있다”고 지적하고, 라자루스를 이번 공격의 배후로 꼽았다. 이 같이 공격의 배후로 라자루스는 꼽은 것은 지난 2017년 10월 타이완(대만)의 극동국제은행(遠東國際商業銀行, FEIB, Far East International Bank)을 공격한 에르메스 멀웨어 (Hermes malware), 다시 말해 악성 소프트웨어와 유사하기 때문이라는 설명이다.

당시 ‘에르메스’는 북한 해커 집단인 ‘라자루스’가 개발한 것으로 알려졌으며, ‘류크(Ryuk)'가 에르메스의 소스코드에서 기인했다는 것이 체크포인트의 설명이다. 체크포인트는 “류크”와 “에르메스”의 드롭퍼(dropper), 즉 악성코드를 시스템에 침투시켜 설치시키는 프로그램이 동일하다고 설명했다.

‘류크’가 한국의 사이버 보안 소프트업체인 안랩(Ahnlab)을 기본 디렉토리 목록에서 제외한 것이 과거 북한 라자루스가 했던 수법과 비슷하다는 설명이다.

한편, 북한 해커조직라자루스는 “류크 랜섬웨어”로 컴퓨터 한 대 당 일반적으로 최소 15에서 35비트코인(미화 약 9만 달러에서 22만 달러)의 몸값을 요구한 것으로 조사됐다.

체크포인트는 이 ‘류크’가 “맞춤형 공격을 위해 특별히 제작된 ‘랜섬웨어’이어서 매우 위험하다”며 “추가 피해가 발생할 가능성이 높아 피해 금액이 64만 달러를 넘을 수 있다”고 경고했다.

특히 이번 ‘류크 랜섬웨어’는 일반적으로 개인이나 기업 또는 국가를 대상으로 하는 지속적인 해킹 시도(Advanced Persistent Threat, APT)를 하고 있어 매우 위험하다고 지적했다.

미 연방 상원은 지난 23일 사이버 공격을 지원하는 제3국의 개인과 기업에 제재를 부과하는 내용을 골자로 한 ‘사이버 억지와 대응 법안’(S.3378)을 발의했다. 이 법안은 북한을 포함한 러시아, 중국, 이란이 2019년에 미국에 대한 가장 큰 사이버 위협이라고 지적했다.

한편, ‘라자루스’는 아래와 같이 다양하게 공격을 감행하는 불법 행위를 저질렀다.

(1) 라자루스는 2017년 5월 전 세계 150여 개국 30여 만 대의 컴퓨터를 강타한 ‘워너크라이 랜섬웨어(WannaCry Ransomware) 공격의 배후로도 의심받고 있다.

(2) 미국 연방수사국(FBI)도 지난 2014년 소니영화사 자회사 소니픽처스에 대한 해킹 수사를 통해 ‘라자루스’의 배후가 북한이라고 밝힌 적이 있다.

(3) 한국에서도 2018년 5월 대표적인 가상화폐 거래소인 '빗썸'에서 암호화폐 미화 약 3천만 달러가 도난당했다. 이를 두고 미국 보안업체 '에이리언 볼트'도 "해킹 방식을 분석한 결과 북한 해커 집단으로 알려진 '라자루스'의 소행으로 추정된다"고 지적하기도 했다.


관련기사

핫이슈포토
핫이슈기사
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • 서울특별시 노원구 동일로174길 7, 101호(서울시 노원구 공릉동 617-18 천호빌딩 101호)
  • 대표전화 : 02-978-4001
  • 팩스 : 02-978-8307
  • 청소년보호책임자 : 성재영
  • 법인명 : 주식회사 뉴스타운
  • 제호 : 뉴스타운
  • 정기간행물 · 등록번호 : 서울 아 10 호
  • 등록일 : 2005-08-08(창간일:2000-01-10)
  • 발행일 : 2000-01-10
  • 발행인/편집인 : 손상윤
  • 대표이사/회장 : 손상윤
  • 뉴스타운 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2019 뉴스타운. All rights reserved. mail to newstowncop@hanmail.net
ND소프트