"북 정찰총국 121국 배후"

피해규모 등은 공개 안돼 

북한 해킹그룹이 가상화폐를 훔치기 위해 구글 브라우저인 크롬의 취약점(버그·bug)을 이용했다고 마이크로소프트(MS)가 밝혔다. MS는 지난 30일 낸 보고서에서 '시트린 슬리트'(Citrine Sleet)라는 북한 해킹조직이 이달 초 가상화폐 탈취를 목표로 기관 등을 공격하기 위해 크롬의 취약점을 이용했으며, 이 취약점은 제로데이(zero-day)였다고 분석했다.

제로데이는 소프트웨어에 존재하는 보안 취약점 중에서 개발자가 인지하지 못한 취약점을 의미한다. 해커들이 악용하기 전 개발자가 프로그램을 업데이트할 시간이 없다(zero-time)는 데에서 유래했다.

MS는 지난 19일 북한 해커들이 이런 활동을 하고 있다는 증거를 처음 발견했으며, 이 버그는 구글이 사전에 알지 못한 것으로 파악됐다. 구글은 이틀 뒤인 지난 21일 이 버그를 확인해 수정했으나, 얼마나 많은 이용자가 이 해킹조직으로부터 공격받았는지는 알려지지 않았다.

'시트린 슬리트'는 북한을 기반으로 활동하는, 금융기관 등 가상화폐를 관리하는 조직과 개인을 공격하는 해킹조직이라고 MS는 설명했다.

이 조직은 효과적인 공격을 위해 가상화폐 산업과 관련된 개인 및 조직에 대한 정보를 광범위하게 수집하고 분석했다고 MS는 덧붙였다.

MS 보고서에 따르면 이 조직은 자체 개발한 트로이 목마형 악성코드인 '애플제우스'(AppleJeus)를 비롯, '미로 천리마'(Labyrinth Chollima), 'UNC4736', '히든 코브라' 등의 이름으로 다른 보안기업들의 추적을 받아왔으며, 북한 정찰총국 산하 121국(사이버전 지도국)이 배후에 있는 것으로 알려졌다.

보고서에 따르면 이 조직은 가짜 웹사이트를 합법적인 가상화폐 거래 플랫폼인 양 가장해 피해자들을 유인하고 가짜 구직신청서 등으로 피해자들을 유도해 악성코드가 있는 가짜 가상화폐 지갑이나 거래 앱을 다운로드하도록 했다. 또, 애플제우스로 피해자들을 감염시킨 뒤 가상화폐 자산을 절취하는 데 필요한 정보를 수집했다. '시트린 슬리트' 조직이 이런 수법으로 절취한 가상화폐 규모는 알려지지 않았다.

블록체인 리서치업체인 TRM랩스 보고서에 따르면 지난해 전 세계 가상자산 탈취액의 3분의 1이 북한 해커 소행에 의한 것으로 추정되고 있다. 유엔 안전보장이사회(안보리) 산하 대북제재위원회는 2017∼2023년 북한이 가상자산 등 '사이버 탈취'로 약 30억달러를 획득한 것으로 추산했다.