미국 정부가 북한 해킹조직에 대한 수사망을 좁힌다. 침해사고 대응 보안 경보를 강화하고 북한이 관리하는 암호화폐 계좌를 몰수한다.
미국 국토안보부(DHS) 산하 사이버·인프라안보국(CISA)과 재무부, 연방수사국(FBI), 사이버사령부 등 4개 기관은 북한 해킹조직이 현금자동입출금기(ATM)를 공격하고 있다며 합동 기술 경보를 내렸다.
북한이 구사하는 ATM 공격은 인터넷을 악용해 가짜 해외 송금을 시도한 후 ATM에서 현금을 빼돌리는 방식이다. 미국 정부는 이 같은 공격을 '패스트캐시 2.0'라고 명명했다. 이를 수행한 해킹조직은 북한 내 다른 해킹조직과 구분하기 위해 '비글보이즈'라고 이름 붙였다.
이번 경보와 함께 발행된 침해지표(IOC) 보고서에 따르면 북한은 지난 2월부터 각국 은행을 겨냥한 해킹 공격을 재개했다. 북한은 2018년 10월부터 ATM 공격을 이어 오다 지난해 말 소강 상태에 들어갔다.
비글보이즈는 '라자루스'와 'APT38' '블루노로프' 등 기존 북한 해킹조직과 상당 부분 겹치는 것으로 조사됐다. 비글보이즈는 패스트캐시 공격뿐만 아니라 2015년부터 이어진 국제 은행 간 통신망(SWIFT) 공격, 암호화폐 갈취 등 배후로 분석됐다.
미국 정부는 “북한 정찰총국이 해킹조직을 관리하면서 원격 인터넷 접근을 통해 은행을 강탈하는 데 매진하고 있다”고 지적했다. 또 “비글보이즈에 의한 은행 갈취는 단순히 평판 절하, 금전 손실을 넘어 개별 기업에 심각한 리스크를 발생시킨다”면서 “세계 은행 곳곳에 공격이 만연, 은행 시스템에 대한 신뢰를 떨어뜨린다”고 경고했다.
경보와 별도로 미국 법무부는 27일(현지시간) 북한이 암호화폐 거래소를 해킹해 빼돌린 2억5000만달러와 관련해 암호화폐 계좌 280개를 몰수하는 소송을 제기했다. 소송장에 따르면 북한은 가짜 신분증 등을 통해 암호화폐 거래 수백건을 진행, 자금 세탁 과정을 거쳤다. 자금 일부는 해킹을 위한 시설비용으로 쓰였다.
소송장에는 지난해 11월 한국 암호화폐 거래소 업비트에서 발생한 사건에도 북한 해킹조직이 연루됐다고도 언급됐다. 당시 업비트는 약 580억원어치 암호화폐가 익명계좌로 출금되는 사고를 겪었다.
미국의 북한 해킹조직 대응 강화에 대해 문종현 이스트시큐리티 시큐리티대응센터(ESRC) 센터장은 “미국이 북한 해킹조직을 장기간 추적해 왔고 이를 연구한 결과가 나오는 것”이라면서 “대북 제재는 사이버 활동을 저지하지 못하면 아무 의미가 없기 때문”이라고 말했다.
문 센터장은 또 “미국을 비롯한 각국에서 북한 사이버공격 대응을 본격화한 상태”라면서 “국내도 대응을 점검하는 계기로 삼아야 한다”고 했다.
오다인기자 ohdain@etnews.com