북한 해킹 조직 라자루스가 애플 맥 운용체계(OS)용 악성코드를 만들어 암호화폐거래소를 공격했다.
카스퍼스키랩 글로벌 연구분석팀 GReAT는 북한 대표 해킹 조직으로 알려진 라자루스가 '애플제우스'라는 신종 악성코드로 암호화폐거래소 공격에 열을 올리고 있다고 밝혔다. 아태 지역 암호화폐거래소가 실제 공격을 받았다. 암호화폐를 빼돌리는 목적이다.
라자루스는 그동안 윈도 OS용 악성코드를 주로 이용했는데 맥까지 영역을 넓혔다. 암호화폐거래소에 맥 사용자가 많은 탓이다. 맥은 윈도보다 보안성이 높은 것으로 알려졌다. 맥은 별도 안티바이러스 등 엔드포인트 보안 솔루션을 쓰지 않는다.
라자루스는 암호화폐 거래용 '셀라스 트레이드 프로그램'을 내려받도록 하면서 PC에 몰래 침투한다. 셀라스 트레이드 프로그램은 여러 암호화폐거래소를 한눈에 보게 하는 프로그램이다. 셀라스 트레이드 프로그램을 깔고 암호화폐거래소 계정을 연결하면 한 곳에서 거래를 한다.
공격자는 이메일로 셀라스 트레이드 프로그램을 안내하며 다운로드를 권유했다. 셀라스 트레이드 프로그램은 정상인데 업데이트 모듈(애플제우스)이 의심스러운 활동을 한다. 애플제우스가 정찰 모듈로 작동한다. 셀라스 트레이드 프로그램이 설치된 PC 기본 정보를 수집해 명령&제어 서버로 보낸다. 공격 대상으로 분류되면 악성코드를 업데이트한다.
라자루스는 이때 'Fallchill'이라는 악성코드를 설치한다. 라자루스가 오랫동안 사용한 악성코드 패밀리다. 카스퍼스키랩은 애플제우스가 공급망(SCM) 공격으로 보이지만 그렇지 않을 수 있다는 의견도 내놨다.
카스퍼스키랩은 “라자루스 그룹이 2017년부터 암호화폐 공격에 관심을 갖고 있다”면서 “모네로 암호화폐 채굴 소프트웨어를 운영했다”고 설명했다. 라자루스는 세계 금융기관과 암호화폐거래소를 표적으로 다양한 공격을 수행했다.
비탈리 캄룩 카스퍼스키랩 아시아태평양 연구팀장은 “애플제우스 등장으로 맥 운영자까지 위험이 확산됐다”면서 “정상 프로그램과 해킹을 구분하기 어려워져 대응이 힘들다”고 말했다.
라자루스는 지난해 5월 세계 150여개국 30여만대 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격 배우로 주목됐다. 미국 연방수사국(FBI)은 2014년 소니픽처스 해킹 조직 라자루스가 북한 지원을 받는다고 공개했다.
김인순 보안 전문기자 insoon@etnews.com