북한 해킹단체 ‘라자루스’가 암호화폐 사이트를 복제해 해킹을 시도한 것으로 드러났다.
6일 자유아시아방송(RFA)에 따르면 미국의 사이버보안 업체 ‘볼렉시티’는 이달 1일 홈페이지에 보고서를 공개하고 라자루스가 복제 사이트와 애플리케이션으로 암호화폐 사용자를 유인한 사례를 소개했다. 라자루스는 북한 정찰총국과 연계된 것으로 알려진 해킹단체다.
보고서에 따르면 라자루스는 올해 6월 ‘블록스홀더’라는 이름의 암호화폐 거래 사이트를 개설했다. 블록스홀더는 이미 존재하는 자동 암호화폐 거래 사이트 ‘하스온라인’을 그대로 복제해 만든 가짜 사이트였다. 복제 사이트 블록스홀더는 첫 화면과 제품 설명 화면, 가격 비교 화면, 기술 설명 화면까지 모두 하스온라인 사이트와 동일했다. 그러나 회사 소개 항목 화면의 경우 소속 전문가 대한 설명은 없었다.
보고서는 라자루스가 사용자들에게 블록스홀더 앱으로 가장한 프로그램을 설치하도록 했으며 이를 통해 악성코드 ‘애플제우스’를 배포했다고 설명했다. 피해자가 블록스홀더 관련 앱으로 가장한 프로그램 또는 사이트의 요금비교 문서를 내려받으면 컴퓨터가 악성코드 애플제우스에 감염되고, 조직은 이를 통해 컴퓨터의 이름과 운영체제 버전 등 정보를 수집해 해킹에 악용했다는 얘기다. 애플제우스는 라자루스가 암호화폐 거래소를 겨냥해 2018년부터 사용해 온 악성코드다.
다만 보고서는 이번 해킹의 피해 현황에 대해서는 공개하지 않았다. 보고서는 라자루스에 대해 “사이버 공격 행위가 많은 주목을 받음에도 계속해서 암호화폐 사용자들을 대상으로 공격을 해오고 있다”면서 “라자루스는 보안 프로그램에 감지되지 않는 해킹 기술을 지속적으로 개발하며, 알려지지 않은 새로운 해킹 방법들을 시도하고 있다”고 경고했다.
미 국무부는 올해 7월 라자루스를 포함한 ‘킴수키’, ‘블루노로프’ 등 북한 정부와 연계된 해킹조직이나 개인 해커에 관한 정보 제공자에 대해 1000만 달러라는 거액의 포상금을 내걸었다고 RFA는 전했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
