“북한 해킹조직, 애플 사용자 암호화폐 탈취 시도”..가짜 사이트에 악성코드 설치

김성원 기자 승인 2019.12.06 22:59 | 최종 수정 2019.12.07 12:57 의견 0
6일 북한으로 추정되는 해킹조직이 애플 운영체제를 계속 목표로 삼는 것은 공격 활로를 넓히고 새로운 대안을 찾기 위한 것으로 보인다고 VOA가 보도했다. (자료=픽사베이)

[한국정경신문=김성원 기자] 북한 해킹조직 라자루스의 소행으로 추정되는 암호화폐 관련 악성 프로그램 공격이 또다시 탐지된 것으로 알려졌다. 전문가들은 지난달 북한의 소행으로 추정된 애플 운영체제 공격과 뚜렷한 공통점이 드러났다고 분석했다. 

6일 미국의 소리(VOA) 방송에 따르면 정보통신 보안전문 매체 ‘블리핑 컴퓨터’는 지난 4일 북한 정보기관이 배후에 있는 것으로 알려진 해킹 조직 라자루스의 소행으로 의심되는 악성코드가 애플의 컴퓨터 운영체제를 공격한 정황이 포착됐다.

악성 코드는 ‘유니언 크립토 트래이더’라는 이름으로 ‘유니언크립토.vip(unioncrypto.vip)’라는 가짜 사이트에 설치돼 있었다.

이 사이트는 차별화된 암호화폐 차익 거래 서비스를 제공한다는 홍보 문구로 투자자들을 유도했다. 이용자가 악성코드 패키지를 열면 악성 코드가 유포되는 방식인 것으로 알려졌다.

이 프로그램을 발견한 악성 소프트웨어 전문가 디네쉬 데바도스 연구원은 “이번 악성코드는 사용되는 실제 데이터, ‘페이로드’를 메모리 내부가 아닌 원격으로 활성화시킨다는 점이 특징”이라고 말했다. 악성코드가 원격으로 활성화 될 경우 범죄 혐의를 밝히는 데 필요한 포렌식 분석을 통한 조사와 추적이 어렵기 때문이다.

데바도스 연구원은 "이런 수법이 마이크로소프트 윈도우 컴퓨터 운영체제에서는 종종 발견됐지만 애플 컴퓨터 운영체제인 MacOS에서는 처음 발견됐다"고 밝혔다. 그는 "애플 사용자의 암호화폐 탈취를 목적으로 공격에 나선 것으로 보인다"고 말했다.

그러면서 “지난달 가짜 암호화폐 사이트에서 MacOS용 악성코드를 유포한 것으로 추정됐던 북한 해킹조직 라자루스의 수법과 매우 유사하다”고 밝혀 북한과의 연계 가능성을 제기했다.

지난달 북한 라자루스 추정 애플 운영체제 공격 정황을 공개한 시스템 보안 담당업체 잼프(Jamf)의 패트릭 워들 보안담당 책임연구원은 "이번 공격도 지난달 공격과 매우 뚜렷한 공통점이 있다"며 "북한의 소행이라는 사실을 의심하지 않는다"고 말했다.

저작권자 <지식과 문화가 있는 뉴스> ⓒ한국정경신문 | 상업적 용도로 무단 전제, 재배포를 금지합니다.