VOA “北해킹조직, 동유럽 사이버 범죄조직과 협력 정황”

© News1 DB

북한 해킹조직 라자루스가 기밀정보와 자금 탈취를 위해 러시아 등 동유럽 사이버 범죄조직과 협력해 온 정황이 포착됐다는 주장이 제기됐다고 VOA(미국의소리)가 보도했다.

12일 VOA는 미국의 정보기술 보안업체 ‘센티넬원’이 발표한 보고서에서 북한 정권의 후원을 받는 것으로 추정되는 해킹조직 라자루스가 ‘트릭봇(TrickBot)’이라고 불리는 악성코드를 운용하는 사이버 범죄조직을 통해 해킹 피해자의 계정에 접근한 정황을 포착했다고 밝혔다.

보고서는 트릭봇이 이메일 등에 첨부된 파일을 여는 동시에 악성코드를 퍼트려 기기를 감염시킨다고 말했다. 이는 대규모로 확산 가능하기 때문에 역사상 가장 위험한 악성코드 중 하나라는 지적이다.

그러면서 보고서는 라자루스가 러시아 등 동유럽 사이버 범죄조직이 트릭봇을 이용해 얻은 정보와 네트워크에 대한 접근권을 임대하는 형식으로 협력하고 있다고 밝혔다.

보고서는 올해 초 라자루스가 통제하는 서버가 칠레의 은행 간 네트워크 침투에 이용된 사례도 밝혔다. 당시 침투 직전 트릭봇 운영자들이 이 서버와 교신한 것을 확인했다는 것이다.

또 지난 4월과 7월에는 영국의 한 방산업체와 일본 통신회사 NTT사가 각각 사이버 범죄조직이 해킹에 노출된 기관에 대한 접근권을 라자루스에 판매한 정황을 포착해 조사에 착수한 사실을 전했다.

보고서를 발표한 사이버범죄 전문가 비탈리 크레메즈 센티넬랩스 수석연구원은 VOA에 사이버 범죄조직이 사실상 북한 해킹조직의 악성코드 공급처 역할을 하고 있다고 말했다.

트릭봇 사업자들이 라자루스에 악성 프로그램 서비스를 빌려주거나 수수료를 받고 일하고 있으며, 북한은 자신들의 범죄 행위를 숨기거나 위장하기 위해 외부 하청업체를 고용하는 것과 비슷한 방식을 취하고 있다는 설명이다.

이어 크레메즈 연구원은 라자루스가 트릭봇 운영자들과 협력하려는 이유는 자금 탈취 목적이라고 덧붙였다.

또한 그는 이번 보고서 발표는 민간 사이버 범죄조직과 국가 주도 해킹조직 사이의 직접적인 연관관계를 처음으로 보여준다는 점에서 의미가 크다고 강조했다.

크레메즈 연구원은 “이번 사례는 라자루스 같은 정부 주도 해킹조직이 자체 해킹 도구를 개발하는 대신 민간 기술을 활용하는 방식으로 진화할 수 있다는 것을 보여줬다”며 “일반 사이버범죄와 국가 주도 사이버범죄 사이의 경계가 모호해지고 있다”고 지적했다.


(서울=뉴스1)