美보안업체 북한 지목 "이메일 분석 결과 과거 북한 공격 방식과 유사"
  • 사진=픽사베이ⓒ
    ▲ 사진=픽사베이ⓒ
    미국 보안업체 에어리언 볼트가 국내 최대 암호화폐 거래소 빗썸이 해킹으로 암호화폐 약 350억 원을 탈취당한 사건의 배후에 북한이 있다고 주장했다.

    美에어리언 볼트는 지난 22일(현지시간) "북한 해커 집단으로 알려진 '라자루스(Lazarus)'가 한국 가상화폐거래소와 이용자에게 악성파일이 담긴 이메일을 보낸 정황이 포착됐다"고 밝혔다.

    '라자루스'는 2014년 11월 美소니 픽쳐스 해킹을 비롯해 전 세계 수많은 기업을 목표로 컴퓨터 데이터 파괴, 관리권한 장악, 데이터 탈취 등을 저지른 사이버 범죄조직으로 유명하다. 

    美보안업체 파이어아이(FireEye)가 2018년 2월 공개한 '라자루스' 관련 자료에 따르면, 이 조직은 미로·침묵·별똥·물수제비 등 4개의 '천리마' 조직으로 구성돼 있다. 파이어아이는 이 조직이 해킹을 통해 전 세계에서 정보 수집, 네트워크 파괴, 금전 탈취 등을 해온 것으로 추정했다.

    '라자루스' 하부 조직 가운데 '침묵 천리마'는 2014년 11월 영화 '인터뷰' 제작사 소니픽처스를 해킹한 조직이라고 한다. 영화 '인터뷰'는 美방송인이 CIA의 의뢰를 받고 김정은을 암살한다는 내용이어서 북한이 강하게 반발했다. 소니 픽쳐스 해킹 이후 미국 연방수사국(FBI)은 시스템을 조사한 결과 북한이 사용하는 IP 주소와 악성코드 형식을 찾아내 북한의 소행이라고 공식 발표했다.

    美보안업체들의 분석에 따르면, '라자루스'의 해킹은 공통적인 특징이 있다고 한다. 보안업체 카스퍼스키랩과 에어리언 볼트 연구원들은 '라자루스' 해커들이 암호로 보호해 놓은 압축파일(ZIP)에다 드로퍼 악성코드(악성코드 설치 파일)를 저장시킨다는 점을 확인했다고 한다. 또 목표 시스템을 감염시킨 뒤 자신들의 흔적을 지우는데 특수한 방법을 사용하는데 이러한 패턴 때문에 보안업체들에게 발목을 잡혔다고 한다.
  • 사진=뉴시스ⓒ
    ▲ 사진=뉴시스ⓒ
    이번 빗썸 해킹에서도 美보안업체들이 지적한 형식의 악성파일이 담긴 이메일을 보낸 것으로 드러났다. 에어리언 볼트는 빗썸 관계자와 고객들이 받은 악성코드 이메일을 분석한 결과 과거 라자루스의 공격 방식과 흡사하다는 결론을 내렸다고 한다. 

    빗썸 측은 이에 대해 "현재 당국 조사 과정에서 나온 이야기가 아니라 외신 보도이기 때문에 아직 확인은 안 된 부분"이라며 "실제 북한 소행인지는 경찰과의 합동 조사 결과가 나와봐야 알 수 있을 것 같다"며 조심스러운 입장을 보였다.

    빗썸 측은 이어 금융업계의 대표적인 정보보호 조항인 '5.5.7 규정'을 지켰음에도 해킹을 당한 데 대해 "지금은 일단 고객자산 보호 등에 집중하면서 최근에 있었던 불미스러운 사건을 마무리를 하려 한다"며 "사태가 일단락 된 뒤에 '5.5.7 규정'의 취약점을 파악하고 보안을 더욱 강화할 예정"이라고 덧붙였다.