그동안 대형 금융기관, 가상자산 거래소를 공격하던 북한 해커들이 개인 금전을 노리는 방향으로 전략을 바꾸고 있다는 분석이 나왔다.
국가정보원은 24일 ‘사이버위협 동향과 국정원의 대응활동’ 관련 3차장 기자간담회를 국가사이버협력센터에서 개최했다.
이날 국정원은 “북한 해킹조직은 김정은 국무위원장의 지시와 관심에 따라 속도감 있게 공격 목표를 변경하는 행태를 보였다”며 “북한의 금전탈취를 목적으로 한 해킹이 은행, 가상자산거래소 등에서 민간으로 확대되고 있다”고 짚었다.
이어 “그동안 금전탈취 공격 초기 은행 등 대형 금융기관이 주요 타깃이었지만, 은행 보안시스템이 강화되자 가상자산 거래소 위주로 공격 대상이 변경됐다”면서 “최근에는 개인이 보유 중인 가상자산까지 탈취 대상을 확대하고 있다고 설명했다.
일례로 북한 해킹 조직은 지난해 온라인 가상자산 동호회의 회원정보를 절취한 뒤 해킹메일을 유포하는 방식으로 개인이 보유한 가상자산 수억원을 가로챘다.
또 북한은 국내 유명 포털사이트의 복제 피싱 사이트를 구축해 불특정 일반인의 아이디와 비밀번호 등 계정정보를 절취해 포털과 연동된 클라우드 내 신용카드 정보 1000여건을 탈취하기도 했다.
국정원은 “북한은 우방국인 러시아를 대상으로도 수차례 해킹을 시도한 정황이 포착됐다”면서 “대북제재 및 코로나팬데믹 완화로 일감 수주가 원활하지 않자 북한 IT 외화벌이 조직도 해킹에 나서고 있는 상황”이라고 짚었다.
그러면서 “북한 해킹조직원의 3배에 달하는 IT 외화벌이 조직원들은 주로 신분증과 이력서를 위장해 IT 개발업체에 취업하거나 업체로부터 수주한 후 자신이 개발한 소프트웨어(SW)에 악성코드를 은닉해 개발업체가 보유한 가상자산을 탈취하거나 랜섬웨어를 유포해 금전을 갈취했다”고 소개했다.
이에 국정원은 “가상자산을 보유한 개인들이 가상자산 인증정보를 이메일·클라우드 등 공개 저장소에 보관할 경우 해킹당할 가능성이 있으니 주의가 필요하다”면서 “국정원도 유관기관 및 우방국 등과의 협조를 통해 북한의 해킹을 예방해 나갈 것”이라고 당부했다.