北 해커의 새로운 수법…"구인 제안·연봉 조정 이메일 주의"
입력
수정
미국 정보기술(IT) 보안업체인 프루프포인트는 최근 펴낸 보고서에서 북한 해커들이 '스타트업 정신(startup mentality)'을 보여주고 있다며 암호화폐 해킹을 위해 새로운 방법을 테스트하고 있다고 25일(현지시간) 밝혔다.보고서에 따르면 프루프포인트는 'TA444'라는 북한 해커 조직에 주목했다.
TA444는 북한의 해킹 조직으로 잘 알려진 APT38, '라자루스'와 같이 북한 정권과 연계된 조직으로, 이 조직이 다른 해킹 그룹과 같이 북한의 수익 창출 임무를 맡으면서 2017년부터는 함호화폐 해킹을 겨냥한 활동을 하고 있다고 보고서는 분석했다.
특히, 지난해 12월에는 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 시작했다고 전했다.프루프포인트에 따르면 이 조직은 이용자의 비밀번호와 로그인 정보를 얻기 위해 기존과는 다른, 이메일을 이용한 접근 방식을 사용했다.
이들은 타깃이 되는 대상을 유인하기 위해 유명 기업의 구인 제안이나 연봉 조정, 암호화폐 블록체인 분석과 같은 위장 콘텐츠로 접근했고, 최근 가장 인기 있는 이메일 마케팅 플랫폼 중 하나인 센드인블루(SendInBlue), 센드그리드(SendGrid)를 사용했다고 보고서는 덧붙였다.
이 이메일에는 '관리자(Admin)'라는 용어와 대상이 된 도메인 이름이 사용됐지만, 메일 주소 등은 동일했다. 이 이메일을 클릭하면 이용자의 개인 정보를 수집하는 페이지로 유인됐다는 설명이다.보고서는 "이는 그동안 악성 프로그램을 직접 배포했던 TA444의 일반적인 활동에서는 벗어난 것"이라면서 "TA444가 스타트업 마인드를 갖고 있다. 해킹을 위해 도움이 되는 다양한 (악성코드) 감염 체인을 테스트하고 있다"고 분석했다.
한편, 보고서는 TA444가 2021년 4억달러에 가까운 규모의 암호화폐 자산을 탈취했고, 지난해에는 10억달러 이상을 모은 것으로 추정했다.
이보배 한경닷컴 객원기자 newsinfo@hankyung.com