북한 해커 조직이 구직 제안이나 연봉 조정 같은 이메일을 보내는 수법으로 암호화폐 탈취를 하고 있다는 분석이 나왔다.
미국 정보기술(IT) 보안업체인 프루프포인트는 보고서를 통해 북한이 암호화폐 해킹을 위해 새로운 방법을 테스트하고 있다고 25일(현지시간) 밝혔다.
보고서는 “북한의 해커 조직인 ‘TA444’가 가상화폐를 탈취하기 위해, 새로운 방법을 활용하고 있다”면서 “이들은 구직 제안이나 연봉 조정 등, 이용자가 솔깃할 만한 내용의 이메일을 보내 이용자의 개인 정보를 빼낸 뒤, 가상화폐 등을 탈취했다”고 설명했다.
TA444는 북한의 해킹 조직으로 잘 알려진 APT38, ‘라자루스’와 같이 북한 정권과 연계된 조직이다.
이 조직은 북한의 수익 창출 임무를 맡으면서 2017년부터는 함호화폐 해킹을 겨냥한 활동을 하고 있는 것으로 파악됐다.
지난해 12월에는 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 벌이기도 했다.
특히 TA444는 기존의 해킹 조직과 다른 수법을 사용했다. 기존의 해킹 조직들은 악성 코드를 유포해 시스템 오류 등을 일으켰던 것과 달리 TA444는 솔깃한 이메일을 보내는 방식을 썼다.
솔깃한 이메일은 유명 기업의 구인 제안이나 연봉 조정, 암호화폐 블록체인 분석 등으로 위장해 주로 미국과 캐나다의 금융업 종사자들에게 보내졌다.
또 해커들은 최근 가장 인기 있는 이메일 마케팅 플랫폼 중 하나인 센드인블루(SendInBlue), 센드그리드(SendGrid)를 사용하며 의심을 줄이는 치밀함도 보였다.
이메일을 클릭하면 이용자의 개인 정보를 수집하는 페이지로 유인됐고, 결국 비밀번호와 로그인 정보가 해킹 조직으로 넘어갔다.
보고서는 “TA444가 탈취한 자금은 세탁 과정을 거쳐 북한에 현금으로 공급된다”며 “2021년에는 우리돈 약 5000억원, 지난해에는 1조2000억원 이상을 탈취했다”고 추정했다.
이어 “TA444가 스타트업 마인드를 갖고 있다”면서 “해킹을 위해 도움이 되는 다양한 악성코드 감염 체인을 테스트하고 있다”고 진단했다.