北해커들, 대상 정보 얻기 위해 구인 정보·연봉 조정 등 이메일 발송

美사이버 보안업체 프루프포인트 최근 보고서 발간…TA444 주목

ⓒ News1 DB

(워싱턴=뉴스1) 김현 특파원 = 북한 연계 해킹 조직이 암호화폐를 탈취하기 위해 인증정보 수집 등 다양한 수법을 활용하고 있다는 분석이 제기됐다.

25일(현지시간) 미 언론에 따르면 미국의 사이버 보안업체인 프루프포인트(ProofPoint)는 최근 펴낸 보고서에서 북한 연계 해커 조직 중 하나인 'TA444' 등 북한 해커들이 '스타트업 정신(startup mentality)'을 보여주고 있다며 암호화폐 해킹을 위해 여러가지 새로운 방법을 시험하고 있다고 밝혔다.

TA444는 북한의 해킹 조직으로 잘 알려진 APT38, '라자루스'와 같이 북한 정권과 연계된 조직이다. 보고서는 TA444가 APT38과 매우 흡사하다며 지난 2016년 북한 해킹그룹이 8100만 달러를 탈취한 '방글라데시 중앙은행 해킹' 사건과 관련 있는 조직이라고 밝혔다.

보고서는 TA444가 다른 북한 해킹 그룹과 같이 북한의 수익창출 임무를 맡으면서 지난 2017년부터 암호화폐 해킹 관련 활동을 하고 있다고 분석했다.

TA444는 지난해 12월 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 벌였다고 한다.

보고서는 특히 TA444가 지난해 말부터 스타트업 방식을 채택했다고 분석했다.

통상 북한의 해킹 그룹은 동일한 공격 방법을 반복적으로 사용하는 반면 TA444는 빠르게 새 공격 기술 및 방법을 모색하는 등 색다른 활동을 보였다는 것이다.

TA444는 우선 이용자의 비밀번호와 로그인 정보를 얻기 위해 기존과는 다른 방법을 사용했다.

해커들은 피싱 필터를 피하려고 이메일을 이용한 접근 방식을 사용했다.

보고서는 "이 모든 것은 (목표) 대상들이 관심이 있거나 필요할 수 있는 유인 콘텐츠를 만드는 것에서 시작한다"며 "여기에는 암호화폐 블록체인 분석, 유명 기업의 구인 제안, 연봉 조정 등이 포함될 수 있다"고 밝혔다.

미국과 캐나다의 교육·정부·의료·금융 분야 기관 사람들을 대상으로 이같은 문서 등이 담긴 이메일을 발송해 이들이 악성 문서에 접속하도록 유도했다는 것이다.

TA444는 이용자들을 접촉하기 위해 최근 가장 인기 있는 이메일 마케팅 플랫폼 중 하나인 센드인블루(SendInBlue), 센드그리드(SendGrid)를 사용했고, 소셜 미디어 네트워킹 서비스 링크트인에도 의존했다고 보고서는 설명했다.

이 이메일에는 '관리자'(Admin)라는 용어와 대상이 된 도메인 이름이 사용됐지만, 메일 주소(admin@sharedrive.ink) 등은 동일했다. 이 이메일을 클릭하면 이용자는 개인 정보를 수집하는 페이지로 유인됐다고 보고서는 설명했다.

보고서는 "이는 그동안 악성 프로그램을 직접 배포했던 TA444의 일반적인 활동에서는 벗어난 것"이라고 말했다.

프루프포인트 측은 이같은 악성 문서로 정보를 암호화해 복구해주는 대가로 몸값을 요구하는 '랜섬웨어'식의 공격은 아니라며 오히려 정보를 축적해 자산을 훔치는 방식으로 북한 정권에 수익을 창출하려는 것일 수 있다고 분석했다.

한편, TA444 등 북한 해킹 조직들은 지난 2021년에 4억 달러에 가까운 규모의 암호화폐와 관련된 자산을 빼돌린 것으로 평가되는데, 지난 해에는 이들이 10억 달러 이상을 빼돌리며 수익원을 확대하기도 했다고 보고서는 지적했다.

gayunlove@news1.kr