북한 해커들이 러시아 인터넷 인프라를 활용해 해외 가상화폐 탈취 등 사이버 범죄 행위를 자행하고 있다는 분석이 나왔다.
보안 전문회사 트렌드마이크로는 보고서를 통해 “러시아 내에서 북한과 연계된 사이버범죄 활동에 사용된 여러 IP 주소 범위를 확인했다”고 밝혔다.
이어 “이들 IP 주소는 상업용 가상사설망(VPN), 프록시 서버, 원격 데스크톱 프로토콜(RDP)을 이용한 가상사설서버(VPS) 등을 사용하는 대규모 익명화 네트워크에 의해 숨겨져 있었다”면서 “이 주소들은 러시아 하산과 하바롭스크에 할당돼 있었다”고 설명했다.
그러면서 “이러한 결과는 북한의 주요 사이버 공격 활동이 러시아 하산과 하바롭스크의 인터넷 인프라에서 이뤄지거나 이를 경유한다는 가설로 이어질 수 있다”며 “해킹 인프라는 2017년 구축됐고 2023년부터 규모가 확장됐다”고 분석했다.
또 “북한은 IT 인력을 배치해 러시아 IP 주소 두 개와 북한 IP 주소 두 개를 연결했다”면서 “북한이 배치한 인력은 중국과 러시아, 파키스탄 등지에서 근무하는 것으로 추정된다”고 전했다.
보고서는 “북한과 연계된 해커들은 러시아 IP를 사용해 구인 사이트와 가상화폐 관련 서비스에 접속했다”며 “특히 구인 사이트에서 미국, 독일, 우크라이나의 정보기술(IT) 전문가들을 표적으로 삼아 접근해, 이들을 가짜 회사와 사기 면접으로 유인했다”고 짚었다.
아울러 “해커들의 목표는 가상화폐, 웹3.0, 블록체인 기술에 관심이 있는 이들 전문가로부터 가상화폐를 훔치는 것”이라며 “이 외에 무작위로 숫자를 집어넣어 가상화폐 지갑의 암호를 푸는 활동에도 러시아 IP가 쓰였다”고 부연했다.
실제로 최근 북한 정찰총국 소속 해킹 그룹인 라자루스가 주요 암호 화폐 기업의 채용 담당자를 사칭해 구직자들에게 접근하는 것으로 파악된 사례가 나온 바 있다.
이달 초 미 자유아시아방송(RFA) 보도에 따르면 라자루스는 원격 채용 면접을 진행하는 것처럼 꾸며 구직자들의 정보를 탈취한 뒤 이를 다시 암호 화폐 탈취에 이용했다.
라자루스 그룹이 가짜 사이트에서 가장 많이 구인하는 직무 유형은 자산 관리 및 교육과 사업개발 및 전략기획 분야로 각각 30.8%, 28.6%, 13.5%에 달하는 것으로 나타났다.