북한 정부의 지원을 받는 해킹 조직이 블록체인 기업들을 노리고 있다고 경고하는 미 정부 부처 합동 사이버 주의보가 발표됐다.

20일 VOA에 따르면 미국 국토안보부 산하 사이버안보∙기간시설안보국(CISA)은 18일 연방수사국(FBI), 재무부와 함께 북한 정부의 지원을 받는 해킹 조직이 블록체인 기업들을 대상으로 벌이는 사이버 위협을 경고하는 부처 합동 사이버 주의보를 발표했다.

주의보는 북한 정부의 지원을 받는 ‘지능형 지속적 위협(advanced persistent threat, APT)’ 조직이 적어도 2020년부터 블록체인 기업들을 공략하며 암호화폐 탈취를 벌이고 있다고 지적했다.

블록체인이란 블록이라는 단위에 데이터를 담아 사슬 구조로 연결한 뒤 수많은 컴퓨터에 이를 동시에 복제하고 저장하는 분산형 데이터 저장기술로, 암호화폐의 생성과 발전에 근간이 되는 체계다.

미국 정부는 북한의 사이버 활동 조직이 블록체인 기술과 암호화폐 산업 내 다양한 기업들을 표적으로 삼고 있다는 것을 주시해 왔다고 주의보는 밝혔다.

4월 현재 기준으로 북한의 대표적인 해커그룹으로 알려져 있는 라자루스가 인터넷 상의 사회관계망 서비스에 ‘가짜계정’을 개설해 다른 사용자를 속이는 스피어피싱 방법이나 악성 코드를 심는 방법을 이용해 암호화폐를 훔쳐왔다는 것이다.

주의보는 이런 활동을 벌이는 조직은 라자루스라는 이름 외에 APT38, 블로노로프, 그리고 스타더스트 천리마로도 흔히 알려져 있다고 밝혔다.

미 재무부 해외자산통제실은 지난 2019년 9월 라자루스와 그 하위 조직인 ‘블루노로프’를 특별 제재 대상으로 지정한 바 있다.

주의보는 이같은 북한의 사이버 활동 조직들이 계속 암호화폐 기술을 기반으로 한 기업들의 취약점을 악용해 북한 정권을 지원하기 위한 자금을 만들어내면서 돈세탁을 벌일 것으로 전망했다.

북한 조직이 노리는 대상으로는 암호화폐 거래소와 탈중앙화 금융(DeFi) 체계, 게임을 하면서 돈을 벌 수 있는 (P2E, play-to-earn) 암호화폐 비디오 게임, 암호화폐 거래 기업, 암호화폐에 투자하는 벤처 캐피털 자금, 그리고 거액의 암호화폐와 대체불가토큰(NFT)을 보유하고 있는 개인 투자자들이 꼽혔다.

주의보는 북한 정부의 지원을 받는 사이버 조직이 다양한 통신 체계를 이용해 상대방이 컴퓨터 운영체제(OS)에 악성 코드가 숨겨져 있는 트로이 목마 프로그램을 실행시키도록 하는 사회공학적 기법을 쓰고 있다고 지적했다.

사회공학적 기법이란 보안 측면에서 기술적인 방법이 아닌 사람들 간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 공격 기법을 말한다.

북한 연계 사이버 조직은 이런 방식으로 공격 대상의 컴퓨터에 대한 접근성을 확보한 후 그 네트워크 환경 내에서 악성 코드를 퍼뜨려 보안 키(key)를 훔치거나 보안의 허점을 악용했다고 주의보는 설명하면서, 이를 통해 블록체인 상에서 부정 거래가 가능했다고 덧붙였다.

주의보는 미국 정부가 북한 조직의 이런 기법을 ‘트레이더/트레이터(TraderTraitor)’라고 지칭하고 있다면서, 북한 조직은 블록체인 산업 종사자에게 같은 블록체인 업계 내 다른 회사에서 더 높은 연봉을 받으며 일할 수 있다고 제안하는 메일을 주로 보내 메일 수신자가 악성 파일을 다운로드하도록 속이는 수법을 사용했다고 설명했다.

이번 주의보는 연방수사국(FBI)이 14일 지난달 발생한 6억 달러 상당의 암호화폐 해킹의 배후로 북한 정찰총국과 연계된 것으로 알려진 라자루스를 지목한 지 나흘 만에 나왔다.