"소니픽쳐스 해킹·워너크라이 공격 당시 악성 소프트웨어와 유사"
지난해 12월 우리나라의 가상화폐 거래소 유빗이 해킹당한 사건은 북한과 연계된 조직 라자루스의 소행일 가능성이 유력하다는 주장이 나왔다.
16일(현지시간) 미국 월스트리트저널에 따르면 미국의 사이버보안 업체인 리코디드 퓨처는 라자루스 그룹이 지난해 12월 유빗에 대한 악성 소프트웨어 공격의 배후로 보인다고 주장했다. 라자루스는 북한 정권의 통제를 받는 사이버범죄 조직으로 알려져 있다.
리코디스 퓨처는 지난 2014년 소니 픽처스 해킹과 지난해 ‘워너크라이’ 랜섬웨어 공격에 동원됐던 것과 유사한 악성 소프트웨어를 사용했다는 점을 근거로 들었다.
앞서 라자루스는 지난해 2월 가상화폐 거래소인 빗썸을 공격해 약 700만 달러의 가상화폐를 절취한 혐의를 받은 바 있다.
리코디드 퓨처의 사이버보안 전문가는 “유빗에 대한 공격은 코딩과 수법, 목표물이라는 측면에서 북한의 소행으로 확인된 종전의 해킹 사건들보다 더욱 유사성이 높았다”며 “이런 점이 해킹의 출처에 대한 확실성을 높였다”고 말했다.
라자루스는 가상화폐 거래소의 가짜 로그인 화면을 만들어 사용자들의 패스워드를 빼내려 했고 한국의 범용 워드프로세서도 해킹 도구로 삼았다. 이들이 해당 워드프로세서로 한국인 컴퓨터 공학자 2명의 이력서로 위장한 파일을 만들어 가상화폐 업계 관계자들에게 발송했다.
문제의 이력서는 컴퓨터 공학자들로부터 훔친 것으로 보이며 파일에는 악성 소프트웨어가 심어져 있었다. 이 악성 소프트웨어의 코드는 소니 픽처스의 해킹에 사용된 악성 소프트웨어와 매우 유사했다고 이 전문가는 밝혔다. 미국 연방수사국(FBI)은 소니 픽처스의 해킹이 북한의 소행임을 공식화한 바 있다.
리코디드 퓨처의 전문가들은 악성 소프트웨어의 코드 속에서 중국식 용어들도 발견했다. 이들은 “중국쪽으로 의심을 돌리려는 속셈이거나 해커들이 중국 소프트웨어를 차용한 흔적일 수 있다”고 했다.
한국 당국이 최근 가상화폐 거래소의 폐쇄 계획을 발표한 데 대해서는 “이런 조치들이 나오게 되면 라자루스가 다른 국가의 가상화폐 시장을 노릴 수도 있다”고 예상했다.