“북 해커, ‘코로나 지원금’ 위장해 500만명 사이버 공격”

미국과 싱가포르의 민간 사이버 보안업체들은 북한 추정 사이버 공격 조직이 코로나 19 지원금을 미끼로 전 세계 정부 기관들을 사칭하며 사이버 공격을 가하고 있다고 분석했다. 

 

싱가포르에 본부를 둔 민간사이버 보안업체인 ‘사이퍼마’(Cyfirma) 연구원은 북한 라자루스 조직의 전세계 코로나19 피싱 캠페인’(Global COVID 19-related phishing campaign by North Korean operatives Lazarus group exposed by Cyfirma researchers)이란 보고서를 공개했다.

 

이 업체는 보고서를 통해 피싱(phishing campaign) 즉, 북한 해킹 조직으로 알려진 ‘라자루스’가 인터넷 전자우편을 통해 개인 정보를 알아내 피해자들을 속이면서 돈이나 정보를 빼돌리는 사기 행각을 하고 있다고 분석했다.

 

특히 보고서는 ‘라자루스’가 이달 들어 지난 1일부터 16일까지 미국과 한국, 일본, 영국, 인도, 싱가포르 등 6개국의 개인 및 기업을 포함한 약 500만 명을 대상으로, 코로나 19 지원금을 준다는 전자우편에 악성코드와 ‘피싱사이트’ 링크를 심어 보내는 조직적인 사이버 공격을 감행했다고 지적했다.

 

‘피싱사이트’란 실제와 유사한 인터넷 웹사이트로 위장해, 개인 및 단체의 정보를 탈취하거나 금전적 피해를 보게 하는 사이버 공격의 한 형태이다.

 

‘라자루스’는 2017년 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직이다.

 

보고서에 따르면 최근 전 세계 정부가 코로나19로 인한 경기부양책의 일환으로 지원금을 지급하는 데 대한 사회적 관심이 높아지고 있는 상황을 노려, 북한 추정 해커들이 정부 기관을 사칭하며, 코로나19 지원금과 관련된 내용과 함께 ‘피싱사이트’ 링크를 전자우편으로 보내고 있다. 

 

코로나19지원금을 미끼로 수신자로 하여금 마치 정부기관이 보낸 것으로 착각하게 만들어 ‘피싱사이트’에 비밀번호를 입력하도록 현혹하는것이다.

 

그러면서 보고서는 실제 북한 추정 해커들이 한국과 미국의 정부기관을 사칭해 만든 가짜 이메일 계정에서 보낸 한국의 코로나19 긴급재난지원금과 미국의 경기부양 지원금(stimulus check) 관련 전자우편의 내용도 공개했다.

 

구체적으로 북한 추정 해커들은 한국의 전자우편 계정 약 70만 개에 100만원의 긴급추가 지원금을, 미국에서는 전자우편 계정 약 140만 개에 미화 1천 달러를 주겠다는 전자우편을 보냈다.

 

아울러 미국의 사이버 보안기업 리버싱랩스(ReversingLabs)도 23일 ‘라자루스’라는 이름으로도 잘 알려진 북한의 해킹조직 ‘히든 코브라’와 관련된 보고서인 ‘히든 코브라 – 탈피에서 독사 둥지까지’(Hidden Cobra - from a shed skin to the viper’s nest)를 공개했습니다.

 

이와 관련, 미국 민간연구기관인 민주주의수호재단(FDD)의 사이버 전문가인 매튜 하 연구원은 25일 외신에 “김정은 정권은 북한의 사이버 전력이 핵무기 및 미사일과 같이 강력한 공격력을 보장하는 다목적 무기로 여기고 있다며, 북한의 악의적인 사이버 공격은 지속될 것”이라고 말했다.