북한 정찰총국 산하 해커조직 라자루스가 암호화폐 기업 직원을 가짜 경력직 채용 면접으로 꾀어 내부 연결망에 악성코드를 유포한 것으로 나타났다.
9일 미국의소리(VOA) 방송에 따르면 에스토니아 암호화폐 기업 ‘코인스페이드'(CoinsPaid)는 최근 홈페이지를 통해 암호화폐 도난 사건의 자체 조사 결과를 발표했다.
앞서 코인스페이드는 지난달 22일 3730만 달러(한화 491억여원) 규모의 암호화폐 도난 사건을 겪은 바 있다.
코인스페이드가 파악한 북한의 해킹 수법은 집요하고도 지능적인 것으로 드러났다.
조사 결과를 살펴보면 라자루스는 올해 3월부터 자사 시스템의 취약점을 찾기 위해 침투해왔다.
특히 내부 직원과 고객 계정에 대한 접근 권한을 취득하기 위해 10여 차례에 거쳐 스피어 피싱 공격 등을 자행했다.
라자루스는 온라인 구인구직 서비스 ‘링크드인’에 고액 연봉을 제시하는 광고를 내고 코인스페이드 직원을 가짜 면접으로 유인하는 수법을 샀다.
해킹 공격자들의 주요 목표는 고위 임직원을 속여 소프트웨어를 설치하도록 유도해 컴퓨터를 원격으로 제어하는 것이었다.
이를 통해 해커들은 코인스페이드 내부 시스템에 침투하려고 시도했고, 6개월 간의 실패 끝에 지난달 22일에 내부 인프라 해킹에 성공했다.
코인스페이드 직원 1명이 면접에서 악성 코드가 포함된 애플리케이션 설치가 필요한 과제를 수행한 것.
이후 라자루스는 코인스페이드 내부망 접근 권한을 얻어 손쉽게 암호화폐를 탈취했다.
코인스페이드 측은 “해커는 코인스페이드의 인프라에 대한 접근 권한을 얻은 후 취약성을 이용해 백도어 공격을 감행했다”면서 “이들이 탐색 단계에서 얻은 지식을 바탕으로 블록체인과의 상호 작용을 통해 회사의 암호화폐 자금 3730만 달러를 인출했다”고 설명했다.
코인스페이드는 3730만 달러 도난 사건을 북한 라자루스 그룹의 소행으로 판단하고, 국제 사이버 보안기업들과 협력해 공격 배후를 추적하고 대응 조치를 강화하고 있다.
한편, 북한은 핵·미사일 자금 조달을 위한 암호화폐 해킹을 고도화하면서 우리 정부는 암호화폐나 IT 분야의 북한 인력과 기관들에 대한 독자제재를 강화하는 방안을 모색하고 있다.