Offcanvas

보안 / 비즈니스|경제

카스퍼스키 랩 "은행 연쇄 해킹 집단, 북한 IP 사용했다"

2017.04.04 Michael Kan  |  IDG News Service
최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다.



'라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다.

이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다.

이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다.

카스퍼스키 랩은 자사 블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다.

라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다.

그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도 예상이 아닌 사실을 제시하는 것을 더 선호한다"라고 밝혔다.

카스퍼스키 랩에 따르면, 라자러스는 최소한 2009년 이후 활동을 시작했다. 조직도 상당한 규모로 보이는데, 예를 들어 구형 툴 사용을 피하면서 새로운 악성코드를 양산하려면 대규모 운영이 필요하다.

이 해커 집단의 최신 변종 악성코드는 최소 18개국 시스템에 감염됐다. 사용자가 방문할 것으로 예상되는 특정 웹사이트를 해킹하는 일명 '워터링 홀(watering hole)' 공격을 이용해 악성코드를 퍼뜨렸다. 카스퍼스키 랩은 "이런 수준의 복잡한 공격은 기존 사이버 범죄에서도 찾기 힘들다. 해킹을 위해 상당한 자금을 투입하고 있는 것으로 보인다"라고 밝혔다.

월스트리트 저널에 따르면, 미국 사법당국은 현재 북한을 상대로 소송을 진행중이다. 방글라데시 은행을 해킹해 8100만 달러를 강탈한 혐의이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.