북한 해커들이 텔레그램 메신저를 통해 ‘가상화폐 앱인 척’ 하는 악성코드를 유포하고 있는 것으로 나타났다.
블룸버그통신은 14일(현지시간) 사이버 보안업체 3곳의 연구진을 인용해 “북한 해커들이 ‘가상화폐 지갑’이라면서 퍼뜨리고 있는 ‘소모라’ 앱에 악성 소프트웨어가 포함돼 있다”고 보도했다.
보도에 따르면 ‘소모라’ 앱의 인터페이스(UI)는 앞서 100만회 이상 다운로드 된 실제 가상화폐 지갑 앱인 ‘마이시리엄’을 본따 만들어졌다. 심지어 이 앱은 마이시리엄의 홍보문구까지 따라 하고 있는 것으로 확인됐다.
‘소모라’ 앱은 텔레그램을 통해 유포되고 있다. 해커들은 텔레그램으로 해당 앱을 내려받을 수 있는 인터넷 주소를 유포하고 있다.
투자자가 휴대전화에 이 앱을 내려받으면 해커들이 투자자의 가상화폐에 접근해 훔칠 수 있게 된다.
‘소모라’는 애플 앱스토어 또는 구글 플레이 등에선 유통되지 않았기 때문에 얼마나 많은 사람들이 다운로드 했는지조차 알 수 없는 상황이다.
정보보안업체 BAE시스템스와 맨디언트는 “소모라 앱의 배후에 북한 당국의 지원을 받는 해커가 있다고 보고 있다”면서 “고객들에게 이 앱에 대해 경고했거나 관련 작업을 준비 중”이라고 했다.
앞서도 북한 해킹 조직은 가상화폐 거래 사이트를 복제한 가짜 사이트로 피해자들을 유인해 악성코드를 퍼뜨려왔다.
일례로 미국 구글 위협분석그룹(TAG)이 7일(현지 시간) 공개한 보고서에 따르면 북한 해킹 조직 APT37은 10월 29일 이태원 참사 발생 이틀 뒤 ‘2022.10.31 (06:00) 서울 용산 이태원 사고 대처 상황’이라는 문서 파일에 악성코드를 심어 퍼뜨렸다.
중앙대책본부 보고서 양식을 모방한 이 문서에는 한국 정부 기관을 상징하는 태극 문양이 찍혀 있고, 사고 개요와 인명피해 규모 등이 세세히 적혀 있었다.
또 북한 정찰총국과 연계된 해킹 조직 ‘라자루스’는 올해 6월 가상화폐 거래 사이트 ‘하스온라인’을 베낀 사이트 ‘블로스홀더’를 통해 악성코드 ‘애플제우스’를 유포했다.
사이트에 접속한 사용자들이 애플리케이션 전용 프로그램 등을 설치하도록 한 뒤 컴퓨터를 감염시키고 정보를 빼내는 방식이다.