北 해커, 러시아 인터넷망 활용해 암호화폐 탈취

북한과 연계된 사이버 범죄 조직이 러시아의 인터넷 인프라를 경유해 전 세계 암호화폐를 노리는 정황이 포착됐다. 보안 전문 기업 트렌드마이크로는 24일(현지시간) 발표한 보고서를 통해 러시아 하산과 하바롭스크에 할당된 복수의 IP 주소를 추적한 결과, 이 주소들이 북한 해커들의 활동에 사용됐다고 밝혔다.

이 IP들은 상업용 가상사설망(VPN), 프록시 서버, 원격 데스크톱 프로토콜(RDP) 등으로 구성된 대규모 익명화 네트워크에 숨겨져 있었으며, 트렌드마이크로는 이를 기반으로 북한 해커들이 러시아 통신 인프라를 경유해 사이버 공격을 감행한 것으로 분석했다. 이 네트워크는 2017년부터 구축되기 시작해, 2023년부터는 그 규모가 더욱 확장된 것으로 알려졌다.

또한 보고서는 북한이 IT 인력을 러시아, 중국, 파키스탄 등지에 배치해 러시아와 북한의 IP 주소를 연계해온 것으로 추정했다. 이들은 러시아 IP를 이용해 구인 플랫폼과 암호화폐 관련 서비스에 접속해, 미국, 독일, 우크라이나의 IT 전문가들에게 접근했다. 가짜 기업과 위장된 면접을 통해 피해자들을 속인 후, 암호화폐와 관련된 정보나 자산을 탈취하는 수법이었다.

트렌드마이크로는 해커들이 블록체인, 웹3.0, 암호화폐에 관심이 있는 전문가들을 노리고 있다는 점에서, 단순한 기술 해킹을 넘어선 정교한 사회공학 공격이 병행되고 있다고 분석했다. 이외에도 러시아 IP를 이용해 무작위 숫자를 조합해 지갑 비밀번호를 푸는 방식의 해킹 시도도 있었던 것으로 나타났다.

북한은 이미 수년 전부터 국제사회로부터 암호화폐 거래소 해킹과 탈취 행위를 통해 외화를 획득하고 이를 대량살상무기 개발 자금으로 활용한다는 의혹을 받아왔다. 실제로 한미일 3국은 지난 1월 공동성명을 통해 6억6000만 달러에 달하는 대규모 암호화폐 탈취 사건의 배후로 북한을 공식 지목한 바 있다.

또한 올해 2월에는 글로벌 암호화폐 거래소인 바이비트에서 14억6000만 달러 상당의 코인이 유출됐으며, 해당 사건 역시 북한의 해킹 조직 라자루스의 소행으로 추정되고 있다.

전문가들은 북한이 점점 정교해지는 기술과 글로벌 인터넷망을 활용해, 제재 회피와 자금 확보를 위한 수단으로 사이버 범죄를 고도화하고 있다고 경고하고 있다.