러 보안업체 "북한 해커들, 한국 암호화폐·POS 단말기 공격"

카스퍼스키랩, 1분기 APT 분석 보고서 공개

대북 관련 연구기관 노린 공격도 계속 이어져

중국어 기반 공격은 대만·말레이·몽골 겨냥

[이데일리 이재운 기자] 우리나라를 대상으로 한 북한발 해킹 공격 기세가 여전하다. 특히 암호화폐나 결제 단말기(POS)에 대한 관심이 높다는 점이 또 다시 드러났다.

17일 러시아 보안업체 카스퍼스키랩이 발표한 1분기 APT(지능형 지속위협) 동향 보고서에 따르면 북한 해커 집단이 사용하는 ‘킴수키(KimSuky)’와 ‘라자루스(Lazarus)’의 한국 대상 공격이 활발한 것으로 나타났다.

카스퍼스키랩은 보고서에서 “한국의 전문가 집단과 정치 기관을 주로 공격하는 킴수키 APT는 사이버 스파이 활동에 적합하도록 설계한 완전히 새로운 프레임워크를 스피어 피싱 공격에 사용하며 전열을 새롭게 가다듬었다”고 설명했다. 대북 관련 연구자나 기관, 언론 등에 대한 공격이 지속된다는 의미다. 킴수키는 과거 2014년 말 국내 원자력발전소 해킹 등에 이용된 바 있었다.

보고서는 또 역시 북한 해킹 집단으로 분류되는 라자루스의 일원 ‘블루노로프(Bluenoroff)’가 암호화폐와 POS 단말기에 대한 공격을 새롭게 시작하고 있다고 지적했다. 상대적으로 보안 대비가 부실하면서 금전적인 측면에서 효율이 높은 공격 대상으로 이들을 노린 것으로 보인다.

카스퍼스키랩은 또 이뿐 아니라 △중국어 기반의 대만·동남아시아 대상 공격 증가 △파키스탄·몽골 대상 공격 등장 등에 대한 새로운 흐름도 소개했다.

중국어 기반 공격의 경우 샤기팬더(ShaggyPanther)라는 세력이 주로 대만과 말레이시아 정부 기관을 대상으로, 카디널리자드(CardinalLizard)가 필리핀·몽골 등에서 최근 말레이시아로 공격 대상을 변경했다고 설명했다.

기존에 러시아 군사조직 대상 공격을 하던 중국어 기반의 아이언허스키(IronHusky) 세력은 최근 국제통화기금(IMF)과의 회담을 앞둔 몽골 정부에 대한 공격을 진행했고, 파키스탄에 대한 공격을 실행한 사이드와인더(Sidewinder) 발생도 언급했다.

이창훈 카스퍼스키랩코리아 지사장은 “(1분기 새로 등장한)이들은 전반적으로 가장 흔하고 손에 넣기 쉬운 악성 코드 도구를 사용하고 있었다”며 “그에 반해 유명 해킹 조직에게서는 두드러진 활동이 관찰되지 않았다”고 말했다.

다시 말해 “기존 알려진 조직은 향후 공격을 위해 공격 전략을 새로 수립하고 조직을 재정비하고 있는 것으로 추정된다”는 설명이다.