북한 해킹조직 ‘라자루스’가 지난해 11월부터 우리나라 암호화폐 거래소를 대상으로 해킹에 열을 올린다는 주장이 제기됐습니다.
28일(현지시간) 미국 자유아시아방송(RFA)에 따르면 러시아의 다국적 기업 보안업체인 ‘카스퍼스키 랩’(Kaspersky Lab)은 ‘라자루스가 목표로 삼고 있는 암호화폐 사업’이라는 보고서에서 이같은 견해를 밝혔습니다.
라자루스는 ‘벤처기업 평가를 위한 기술사업계획서’와 ‘중국블록체인협회 한국지부 사업개요’라는 제목의 HWP 한글문서에서 우리나라 암호화폐 거래소를 주요 타깃으로 삼고 암호화폐 탈취에 집중한다는 사실을 전했습니다.
라자루스는 지난 2017년 5월 전 세계 30만 대 이상의 컴퓨터를 공격한 랜섬웨어 ‘워너크라이’와 2014년 미국 소니 영화사 해킹 사건 등의 주범이자 배후로 지목받으며 악명을 떨쳤습니다.
국내 보안업체 이스트시큐리티가 발행한 ‘자이언트 베이비 작전’이라는 보고서에서도 이같은 공격을 확인할 수 있습니다. 보고서에 따르면 암호화폐 일종인 ‘알리바바 코인’(ABBC)의 월렛(지갑) 프로그램을 설치하면 악성코드가 동시에 설치되는 사이버 공격이 우리나라에서 발견됐습니다.
특히 이스트시큐리티는 사이버 공격을 추적하던 중 해커 이메일과 비밀번호가 북한에서 자행된 증거를 발견했습니다. 해커는 이메일에 처음 가입할 때 암호를 기억하지 못할 경우를 대비한 질문에 자신의 국적이 북한이라고 기재했습니다. 해당 보안 질문이 외부에 노출될 것을 생각하지 못한 것입니다.
또한 이번 사이버 공격에 사용된 악성코드 암호가 ‘wjsgurwls135’으로 이를 한글 키보드로 치면 ‘전혁진135’로 풀이됩니다.
전혁진은 지난해 4월 김수키(kimsuky)가 수행한 해킹 공격의 악성코드에서 발견된 이름과 일치합니다. 김수키는 지난 2014년 한국수력원자력을 해킹한 전력이 있습니다.
한편 북한이 국내 암호화폐 거래소 해킹에 집중하는 이유는 보안이 상대적으로 취약하기 때문이란 분석입니다.
실제 지난해 과학기술정보통신부와 한국인터넷진흥원이 공동으로 암호화폐 거래소 정보보호 수준을 점검한 결과 5곳이 ISMS 인증을 받았고 2곳이 85개 체크리스트를 통과했습니다. 해당 거래소는 두나무(업비트), 비티씨코리아(빗썸), 스트리미(고팍스), 코빗, 코인원, 플루토스디에스, 후오비 등 7곳에 불과합니다.
국내 암호화폐 거래소가 200여 개로 추산될 만큼 우후죽순 생겨나는 시점에 정부 당국의 합리적 규제 마련이 더욱 절실해지는 상황입니다.
