채굴된 암호화폐는 북한 김일성종합대학 서버 도메인으로 보내져
암호는 김정은의 이니셜인 'KJU'
북한의 고위층 정예 요원들이 아닌 학생들의 프로젝트일 가능성 높아
전문가들 '국제사회의 경제제제로 인한 대체 돈벌이 방안'

지난 8일 미국 사이버 보안업체 '에일리언볼트(AlienVault)'가 발표한 보고서에 따르면, 지난 크리스마스 이브 때 심어졌던 가상화폐의 한 종류인 모네로(Monero)를 채굴하도록 하는 악성코드가 검출됐다.

채굴된 자금은 자동으로 북한 김일성종합대학 서버 도메인으로 보내지는데, 이 자금에 접근하기 위해 입력해야 하는 암호는 김정은 북한 노동당 위원장의 이니셜로 보이는 'KJU'로 밝혀졌다.

악성코드를 발견한 에일리언볼트의 기술자 크리스 도먼(Chris Doman)은 “어디서 바이러스가 심어졌는지, 얼마나 많은 모네로가 채굴됐는지는 불명확하다”고 말했다. 다만 그는 “규모가 큰 조직만이 바이러스토털에 데이터를 업로드하기 때문에 큰 회사에서 악성코드가 발견될 가능성이 높다”고 분석했다.

모네로는 최근 국제시장 뿐만 아니라 국내에서도 많은 거래가 이뤄지고 있는 가상화폐 중 하나다. 시가총액은 62억5000만 달러(약 6조7000억원)로 주요 가상화폐 중 15위권 내에 들어간다.

이 같은 사건에 대해 모네로 측은 지난 8일 유저들에게 “모네로를 안전하고 개인사유권을 지키기 위한 화폐로 믿어 줄 것을 부탁드린다”며 “다만 어떤 가상이던 실물 화폐던 그 무엇도 불법적인 범죄에 대해 면역성을 가지고 있진 않다”고 발표했다.

크리스 도먼은 이번 해킹에 대해 “코딩이 매우 기초적”이라며 “이번 시도는 라자루스(Lazarus)라고 알려진 북한의 고위층 정예 요원들이 아닌 학생들의 프로젝트일 가능성이 높다”고 언급했다. 또한 “악성코드를 만든 자가 특정 파일들을 숨기고 있다”며 “우연하거나 장난치기 위한 소프트웨어는 아니다”라고 말했다.

또한 예를 들어 설명하기를, “이번 악성코드는 모네로 채굴기(‘모네로’라는 암호화폐를 획득하기 위한 소프트웨어)를 마이크로소프트 윈도우즈 운영 체제의 일부인 폴더에 설치되도록 설계됐으며, 이는 전형적으로 불법 소프트웨어를 이용한 공작”이라고 말했다. 덧붙여 “사용자가 인텔 제품과 혼동하도록 ‘intelservice.exe’라는 파일 이름을 설치했다”고 언급했다.

북한의 암호화폐 해킹 시도는 지난 12월에도 있었다. WSJ, 블룸버그 등 주요 외신들은 암호화폐를 겨냥한 워너크라이 랜섬웨어(WannaCry ransomware) 공격이 북한의 소행이라고 대대적으로 보도하며 과거 북한의 해킹 이력에 대해 다루기도 했다.

사이버 보안 전문가들은 “국제사회의 제재를 상쇄하기 위한 대체 돈벌이 방안을 찾고 있는 북한이 가상화폐에 관심이 있다는 또 다른 사례"라고 평가했다.

홍준표 기자 junpyo@pennmike.com

이 기사가 마음에 드시나요? 좋은기사 원고료로 응원하세요
원고료로 응원하기
저작권자 © 펜앤드마이크 무단전재 및 재배포 금지