북한 정찰총국과 연계된 것으로 알려진 해킹단체 라자루스가 가짜 암호화폐(가상자산) 사이트를 만들어 해킹을 시도한 정황이 포착됐다.
 
6일 자유아시아방송(RFA)에 따르면 미국의 사이버보안 업체 ‘볼렉시티’는 지난 1일 홈페이지에 공개한 보고서에서 라자루스가 복제 사이트와 애플리케이션으로 암호화폐 사용자를 유인한 사례를 소개했다.
 
보고서에 따르면 라자루스는 지난 6월 ‘블록스홀더’라는 이름의 암호화폐 거래 사이트를 개설했다. 이 사이트는 이미 존재하는 자동 암호화폐 거래 사이트 ‘하스온라인’을 복제해 만든 가짜였다. 복제 사이트는 메인 화면과 제품 설명 화면, 가격 비교 화면, 기술 설명 화면까지 모두 하스온라인 사이트와 동일했지만, 회사 소개 항목의 소속 전문가 대한 설명은 없었다.
 
보고서는 라자루스가 유저들에게 블록스홀더 앱으로 가장한 프로그램을 다운받도록 했으며 이를 통해 악성코드인 ‘애플제우스’를 배포했다고 밝혔다. 피해자가 블록스홀더 관련 앱으로 가장한 프로그램이나 사이트의 요금비교 문서를 내려받으면 컴퓨터가 악성코드 애플제우스에 감염되고, 조직은 이를 통해 컴퓨터 정보를 수집해 해킹에 악용했다는 것이다.
 
애플제우스는 라자루스가 2018년부터 사용해 온 악성코드로, 조직이 이 프로그램으로 빼낸 암호화폐 자금만 수억 달러에 이르는 것으로 전해진다. 다만 이번 시도에 따른 피해 상황은 공개되지 않았다.
 
보고서는 “라자루스 그룹의 사이버 공격 행위가 많은 주목을 받음에도 조직이 지속해 암호화폐 사용자들을 공격 대상으로 삼고 있다”고 경고했다.
 
한편, 지난 10월 라자루스는 피싱 공격으로 일본의 여러 암호화폐 펀드를 공격한 바 있다. 당시에도 라자루스는 악성코드에 감염된 링크를 보내는 해킹을 시도했다. 이로 인해 기업 내부 시스템이 해킹당했으며, 일부 암호화폐가 도난당한 것으로 파악됐다.  
 
앞서 4월에는 크로스체인 프로토콜인 디브릿지 파이낸스가 라자루스에 의해 이메일 기반 사이버 공격을 받은 것으로 알려졌다. 1억 달러 피해를 본 하모니(ONE) 브릿지 호라이즌을 공격한 배후도 라자루스로 지목된 바 있다.

윤형준 기자 yoonbro@edaily.co.kr

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지