북한의 해킹조직이 가짜 암호화폐 거래 사이트와 애플리케이션(앱)을 유포해 해킹을 시도한 정황이 포착됐다.
6일 자유아시아방송(RFA)에 따르면 미국의 사이버보안 업체 ‘볼렉시티’는 최근 홈페이지를 통해 라자루스가 복제 사이트와 애플리케이션으로 암호화폐 사용자를 유인한 사례를 소개하는 보고서를 공개했다.
보고서를 토대로 볼 때, 라자루스는 지난 6월 블록스홀더라는 인터넷 사이트를 개설했다.
이는 이미 존재하는 자동 암호화폐 거래 사이트인 ‘하스 온라인’을 그대로 복제해 만든 가짜 사이트이다.
블록스홀더는 첫 화면과 제품 설명 화면, 가격 비교 화면, 기술 설명 화면까지 모두 하스온라인 사이트와 동일했다. 그러나 회사 소개 항목 화면의 경우 소속 전문가 대한 설명은 없었다.
보고서는 “라자루스가 유저들에게 블록스홀더 앱으로 가장한 프로그램을 다운받도록 했다”면서 “이를 통해 악성코드인 ‘애플제우스’를 배포했다”고 전했다.
이어 “피해자가 블록스홀더 관련 앱으로 가장한 프로그램이나 사이트의 요금비교 문서를 내려받으면 컴퓨터가 악성코드 ‘애플제우스’에 감염됐다”면서 ” 조직은 이를 통해 컴퓨터 정보를 수집해 해킹에 악용했다”고 설명했다.
애플제우스는 라자루스가 지난 2018년부터 사용해 온 악성코드로, 미국 사이버안보 기반시설 안보국(CISA)과 연방수사국(FBI), 미국 재무부는 2021년 2월 ‘애플제우스 합동경보’를 발령하기도 했다.
보고서는 “라자루스가 지난 10월 ‘OKX 바이낸스 & 후오비 VIP 요금비교’라는 이름의 마이크로소프트 오피스 엑셀 문서에 악성코드를 심어 배포했다”고 밝혔다.
그러면서 “이 외에도 라자루스가 보안프로그램에 감지되지 않는 해킹 기술을 지속적으로 개발하며 알려지지 않은 새로운 해킹 방법들을 시도하고 있다”고 강조했다.
다만 보고서에는 이번 시도에 따른 피해 상황은 공개되지 않았다.
한편, 미 국무부는 올해 7월 라자루스를 포함한 ‘킴수키’, ‘블루노로프’ 등 북한 정부와 연계된 해킹조직이나 개인 해커에 관한 정보 제공자에 대해 1000만 달러라는 거액의 포상금을 내건 바 있다.