북한 해킹그룹이 미국의 한 정보기술(IT) 관리업체 네트워크에 침투해 가상화폐를 훔치다 적발됐다.
20일(현지시간) 로이터통신은 클라우드 기반 사이버 보안업체인 클라우드 스트라이크 등 복수의 소식통을 인용해 고객사 네트워크의 장치·서버 관리 지원 제품을 만드는 업체 점프클라우드가 블로그를 통해 북한 해킹그룹이 지난달 말 자사 네트워크에 침투했다고 공개했다고 보도했다.
이번 사건은 점프클라우드 측이 이달 초 ‘진행 중인 사건’과 관련해 네트워크 로그인에 필요한 개인정보를 변경할 것이라고 고객사들에 밝히면서 처음 알려졌다.
해커들은 5곳 미만의 고객사를 공격 목표로 삼고, 관리업체 네트워크에 침투 후 가상화폐 업체들에서 가상화폐를 훔치는 식의 이른바 ‘공급망 공격'(supply chain attack)을 시도했다.
공급망 공격은 소프트웨어 제조업체나 서비스 공급업체 등 신뢰를 받는 업체에 침투해 고객사 등 연계 단체를 찾아 공격하는 해킹 수법이다.
로이터는 “해커들이 가상화폐 탈취에 주력한 것으로 알려져 있으며, 가상화폐 업체들이 공격 대상이 됐다”면서 “북한 해킹그룹이 개별 가상화폐 기업을 단편적으로 공격하던 데서 벗어나 공급망 공격을 통해 여러 곳을 겨냥하는 식으로 나아가고 있음을 보여준다”고 전했다.
클라우드 스트라이크 등은 해당 해킹그룹이 북한 정찰총국을 위해 일하는 ‘미로(Labyrinth) 천리마’라고 추측했다.
북한 해킹조직이 3개로 구성돼 있는데 ▲정보 탈취를 전담하는 ‘APT 37’을 지칭한 ‘미로 천리마’ ▲지난 2014년 소니 픽처스 영화사 해킹과 같이 파괴적 공격을 담당하는 ‘침묵의 천리마’ ▲금융 시스템을 해킹해 돈을 훔쳐오는 업무를 맡은 ‘별똥 천리마’로 파악됐다.
클라우드 스트라이크 관계자는 “북한 해킹그룹이 올해 추가로 공급망 공격에 나설 가능성이 있다”고 경고했다.
한편, 블록체인 분석업체 체이널리시스는 최근 북한이 지난 5년간 해킹 부대를 동원해 훔친 암호화폐가 3조8300억원에 달하고, 이 자금의 절반가량을 탄도미사일 개발에 사용했다는 분석을 내놨다.