美 IT업체 "北해커, 동유럽 사이버범죄자들과 공조 정황"

"北해킹 조직 라자루스, 트릭봇 통해 피해자 계정 접근"
로이터 "디지털 갱단-스파이, 온라인에서 공통 기반 찾아"

김정은 북한 국무위원장이 지난 2일 백두산 삼지연군 읍지구 준공식에 참석했다고 조선중앙통신이 3일 보도했다. /연합뉴스

북한 해커들이 네트워크 침투를 통한 해킹 범죄에서 러시아 등 동유럽 사이버 범죄자들과 공조한 정황이 있다는 주장이 제기된 것으로 알려졌다.

11일(현지시간) 로이터통신에 따르면 캘리포니아에 본사를 둔 정보기술 업체 센티널원이 운영하는 센티널랩스는 보고서를 통해 해킹 조직 라자루스 그룹이 트릭봇(TrickBot)이라고 불리는 사이버 범죄 조직을 통해 피해자들의 계정에 접근하고 있다고 밝혔다. 라자루스 그룹은 소니픽처스 이메일 유출 사건을 꾸미고 방글라데시 중앙은행에서 수백만 달러를 훔친 혐의로 기소됐다고 로이터는 설명했다.

라자루스는 2014년 미국 소니픽처스, 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어(암호화 등 방식으로 데이터를 사용할 수 없도록 한 뒤 이를 인질로 삼아 금전을 요구하는 악성 프로그램) 유포 사건 등에 연루됐다는 의심을 받는 북한의 해킹 조직으로 알려져 있다.


보고서는 라자루스와 트릭봇 운영자들이 협력하는 정황은 이전에도 나타났다면서 지난 4월 사이버 범죄자들이 해킹에 노출된 기관에 대한 접근권을 라자루스에 팔았다는 설을 검토하고 있다고 BAE 시스템의 한 연구원이 밝혔다고 전했다. 또 7월에는 일본 통신회사 NTT의 사이버 보안 부서가 북한이 라자루스 및 트릭봇 운영자와 협력하고 있을 것이라고 추측했다고 설명했다.

센티널랩스의 사이버범죄 전문가인 비탈리 크레메즈는 “증거를 찾았다”면서 라자루스가 통제하는 서버가 올해 초 칠레의 은행 간 네트워크에 침투하는 데 사용됐는데, 그로부터 불과 몇 시간 전에 트릭봇은 이 서버와 교신한 것으로 나타났다고 말했다. 그는 “그것은 라자루스 침입 사건과 연관돼 있을 가능성이 있는 가장 강력한 증거”라며 “트릭봇 사업자들이 북한 사람들에게 서비스를 빌려주거나 수수료를 받고 일하고 있을 가능성이 크다”고 주장했다. 보고서는 특히 “라자루스 그룹은 가장 정교하고 가장 자원이 풍부한 러시아의 봇넷 운영과 관계를 맺고 있다”고 주장했다. 봇넷이란 컴퓨터에 침입해 정보를 빼내거나 운영체제를 망가뜨리는 ‘봇’이라는 악성 소프트웨어 로봇의 연결망을 뜻한다. 봇넷은 인터넷을 통해 PC 여러 대를 ‘좀비 PC’로 감염시켜 해킹 범행을 일으킨다.

로이터는 “보고서는 디지털 갱단과 국가의 지원을 받는 스파이들이 온라인에서 공통의 기반을 찾고 있다는 점을 시사한다”고 전했다.

/전희윤기자 heeyoun@sedaily.com


<저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지>