북한 해커들이 최근 암호화폐 해킹과 관련해 새로운 기법을 활용하고 있는 것으로 나타났다.
28일(현지시간) 뉴욕타임스(NYT)와 워싱턴포스트(WP) 등에 따르면 글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트는 보고서를 통해 이 같은 사실을 밝혔다.
맨디언트의 보고서에 따르면 북한 정부와 연계된 것으로 알려진 ‘APT43’ 소속 해커는 최근 ‘미국의소리(VOA)’ 방송 기자로 위장해 핵 정책과 무기 확산 등에 대한 정보를 수집했다.
이때 북한 해커들은 NYT의 채용 담당자인 것처럼 속여 허위 이메일을 보내는 방식을 활용했다.
사례를 살펴보면 북한 해커는 ‘북한의 핵실험으로 일본이 방위비를 증액할 것으로 보는가’는 메시지를 전문가들에게 보낸 뒤 “5일 내로 답장을 주면 좋겠다”고 덧붙이는 방식이다.
또 해커들은 학자들에게 대신 연구 논문을 써주면 수백 달러를 지급하겠다고 제안하기도 했다.
이와 관련해 블룸버그통신은 APT43가 개인식별 정보를 훔쳐 가짜 웹 계정을 만들고 도메인을 등록하는 데 숙련돼 있다는 보안 전문가의 견해도 첨부했다.
블룸버그는 “미국 기자를 사칭하려는 움직임은 김정은 정권이 후원하는 것으로 알려진 또 다른 해킹 그룹이 암호화폐 분야에 집중한 이후 나왔다”고 전했다.
보고서는 ATP43가 클라우드 마이닝 서비스를 이용해 탈취한 암호화폐를 세탁하는 등의 정황도 포착했다. 클라우드 마이닝은 인프라를 소유, 운영하며 암호화폐를 위탁 채굴하는 서비스이다.
맨디언트는 ATP43가 가상화폐 관련 서비스에 초점을 맞춰 북한 정권에 자금을 조달하고 있는 임무를 수행하고 있다고 지적했다.
대한민국에서 학술과 국가 보안 산업에 속한 기업 재무 및 고객 데이터를 직접적으로 손상시키기 위한 캠페인을 운영하고, 인기 검색 엔진 및 가상화폐 거래소를 가장한 인터넷 주소를 관심 대상 국가에 등록하기도 하는 것으로 조사됐다.
또 신뢰도를 높이기 위해 미 코넬대 홈페이지를 사칭하는 등 마치 합법적인 사이트처럼 보이도록 일련의 웹 도메인을 등록해왔다.
악성 앱을 사용해 암호화폐를 생성하고, 사용자명과 비밀번호를 훔쳐 핵 정책에 대한 국제 협상에 초점을 맞춘 스파이 활동을 하기도 했다.