이스라엘 소재 보안업체 '체크포인트' 연구보고서 "지능형 지속공격, 매우 위험"
"대만 FEID공격한 北해커조직 개발 멀웨어 '에르메스'와 소스코드·수법 유사"
北해커조직 라자루스, 작년 5월 30여만대 컴퓨터 강타한 '워너크라이' 공격 배후
북한 김정은 정권의 해커집단 '라자루스'가 새로운 랜섬웨어(Ransomware) '류크(Ryuk)'로 미국을 포함한 전 세계에서 최근 2주 동안에 64만달러(약 7억1300만원) 이상을 탈취한 것으로 31일 알려졌다.
미국 자유아시아방송(RFA)은 30일(미국 현지시간) 이스라엘에 본부를 둔 다국적 보안업체 '체크포인트' 산하 연구소가 최근 공개한 보고서를 인용, 미국과 전 세계에서 신종 랜섬웨어 류크의 공격으로 인해 단 2주만에 64만달러 이상의 피해가 발생했다고 보도했다.
랜섬웨어는 컴퓨터 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하고 이를 인질(Ransom)로 잡아 금전을 요구하는 악성 소프트웨어의 한 종류이다.
체크포인트는 보고서에서 "이번 신종 공격이 북한의 대표적인 해킹조직으로 알려진 라자루스와 연관돼 있다"고 지적했다. 지난 2017년 10월 대만의 극동국제은행(FEIB)을 공격한 에르메스(Hermes) 멀웨어(악성 소프트웨어)와 유사하기 때문이란 것이다.
당시 에르메스는 북한 해커 조직인 라자루스가 개발한 것으로 알려졌다. 체크포인트는 류크가 에르메스의 소스와 코드에서 기인했다고 분석했다.
또 류크와 에르메스의 '드롭퍼(dropper·악성코드를 시스템에 침투시켜 설치하는 프로그램)'가 동일하고, 류크가 한국의 사이버 보안 소프트웨어인 안랩(Ahnlab)을 기본 디렉토리 목록에서 제외한 것도 라자루스의 과거 수법과 유사하다고 덧붙였다.
류크는 8월 중순부터 전 세계 기업들을 대상으로 피해자들의 컴퓨터에 침입해 감염시킨 후, 컴퓨터 복구에 대한 대가를 가상화폐인 비트코인으로 받았다.
이번 공격으로 한 기업은 50비트코인, 약 32만 달러의 피해를 입었다. 해커조직은 류크로 한 컴퓨터당 일반적으로 최소 15~35비트코인(약 9만~22만 달러)의 몸값을 요구한 것으로 조사됐다.
보고서는 류크가 "맞춤형 공격을 위해 특별히 제작된 랜섬웨어이기 때문에 매우 위험하다"며 "추가 피해가 발생할 가능성이 높아 피해 금액이 64만 달러를 넘을 수 있다고 경고했다.
또 류크가 일반적으로 개인이나 기업 또는 국가를 대상으로 '지능형 지속 공격(Advanced Persistent Threat∙APT)'을 하고 있어 매우 위험하다고 밝혔다.
한편 라자루스는 그동안 다양한 사이버 공격을 감행해 왔다.
대표적으로 2017년 5월 전 세계 150여개국 30여만대의 컴퓨터를 강타한 '워너크라이 랜섬웨어(WannaCry Ransomware)' 공격의 배후로 의심받고 있다.
미국 연방수사국(FBI)도 2014년 소니영화사 자회사 소니픽처스에 대한 해킹 수사를 통해 라자루스의 배후가 북한이라고 밝힌 적이 있다.
한국에서도 2018년 5월 대표적인 가상화폐 거래소인 '빗썸'에서 암호화폐 미화 약 3000만 달러가 도난당했다.
이를 두고 미국 보안업체 '에이리언 볼트'는 "해킹 방식을 분석한 결과 북한 해커 집단으로 알려진 '라자루스'의 소행으로 추정된다"고 지적한 바 있다.
한기호 기자 rlghdlfqjs@pennmike.com