북한 해커들이 러시아의 인터넷 인프라를 경유해 가상화폐를 탈취하는 등 사이버 범죄를 저지르고 있다는 분석이 나왔다.
24일(현지시간) 보안업체 트렌드마이크로는 보고서를 통해 북한과 연계된 사이버 활동에 사용된 러시아 소재 IP 주소를 다수 확인했다고 밝혔다. 해당 IP들은 상업용 VPN과 프록시 서버, 원격 데스크톱 프로토콜(RDP)을 통한 가상 사설 서버(VPS)로 위장됐으며, 러시아 하산과 하바롭스크 지역에 할당된 것으로 파악됐다.
트렌드마이크로는 “북한의 주요 사이버 공격이 러시아 인프라를 거쳐 이뤄질 가능성을 시사한다”며 “관련 인프라는 2017년 구축돼 2023년부터 규모가 확대됐다”고 밝혔다.
보고서에 따르면 북한은 러시아 IP 2개와 북한 IP 2개를 연결해 활용했으며, 관련 IT 인력은 중국, 러시아, 파키스탄 등지에서 활동 중인 것으로 분석됐다. 이들은 러시아 IP를 이용해 구인 사이트와 가상화폐 관련 서비스에 접근했고, 미국·독일·우크라이나 등의 IT 전문가를 대상으로 가짜 회사 및 사기 면접을 통한 접촉 시도가 이뤄졌다.
공격 대상은 웹3.0 및 블록체인 기술에 관심이 있는 전문가들이며, 해커들은 이들의 취약점을 노려 가상화폐를 탈취하려 한 것으로 드러났다. 아울러 무작위 숫자를 입력해 지갑 비밀번호를 추측하는 수법에도 러시아 IP가 사용된 정황이 확인됐다.
북한은 수년간 가상화폐 해킹을 통해 자금을 확보해왔다는 의혹을 받아왔다. 올해 1월, 한미일 3국은 공동성명을 통해 6억6천만달러 규모의 암호화폐 탈취 사건을 북한의 소행으로 지목했다. 지난 2월에는 세계 최대 가상화폐 거래소 중 하나인 바이비트에서 14억6천만달러 상당의 코인이 탈취됐으며, 북한 해킹 조직 라자루스의 소행으로 추정되고 있다.
About the Author
