구글 클라우드 “북한 해커 그룹
韓 반도체·자동차·방산업계 노린다”
“금전적 이익과 함께 첩보 활동의 일부”
암호화폐 공격에서도 북한이 요주의 공격자
韓 반도체·자동차·방산업계 노린다”
“금전적 이익과 함께 첩보 활동의 일부”
암호화폐 공격에서도 북한이 요주의 공격자
루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트가 19일 오전 서울시 강남구 구글코리아 오피스에서 진행한 구글 클라우드 시큐리티 데이 브리핑에서 발표하고 있다. [사진 = 정호준 기자] |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
라자루스 등 북한이 배후에 있는 것으로 추정되는 해킹 그룹이 한국의 핵심 산업인 반도체, 방산, 자동차, 제조업 등을 겨냥하고 있다는 분석이 나왔다.
루크 맥나마라 구글 위협 인텔리전스 그룹 부수석 애널리스트는 19일 오전 서울시 강남구 구글코리아 오피스에서 열린 구글 클라우드 시큐리티 데이 브리핑에서 이같은 구글 클라우드의 조사 결과를 공유했다.
맥나마라 애널리스트는 “최근 몇 년 동안 한국에서 가장 많은 사이버 공격의 타깃이 된 산업은 제조업, 금융 서비스, 그리고 미디어와 엔터테인먼트 부문”이라면서 “최근에는 북한과 연관된 것으로 알려진 APT 45, 라자루스 그룹이 한국 내 제조업, 자동차 산업, 방산업체와 반도체 산업을 겨냥하고 있는 것으로 판단하고 있다”라고 밝혔다.
북한은 암호화폐 거래소 등을 노려 암호화폐를 탈취하는 방식으로 금전적인 수익을 노리거나, 해외 기업에 IT 인력으로 위장 취업하는 사례들이 많다.
대표적인 예시로, 북한의 해킹 조직인 라자루스는 지난달 세계 최대 가상화폐 거래소 중 하나인 바이비트를 해킹해 2조1000억원 상당의 코인을 탈취한 것으로 추정된다. 탈취한 가상화폐는 대부분 이더리움이었다.
북한 정부의 자금 조달을 위한 사이버 해킹 그룹의 주요 공격 활동 [출처 = 구글 클라우드] |
IT 인력을 활용하는 경우는 북한 인력이 원격·재택 근무를 채택한 해외 기업에 취업한 뒤 노동을 통해 번 수익을 북한으로 송금하는 식이다. 구글 클라우드에 따르면 이처럼 북한 인력이 한국 내에 위장 취업한 사례는 아직 없는 것으로 파악된다.
맥나마라 애널리스트는 “북한의 IT 인력이 정체가 드러나 해고당한 뒤에, 비트코인을 지급하지 않으면 회사의 민감한 유포하겠다는 식으로 협박해 비트코인을 갈취하는 경우도 있다”라고 설명했다.
중국의 지능형 지속 위협(APT) 조직의 활동도 이어지고 있다. 과거에는 광범위한 시스템을 대상으로 과감한 대규모 공격을 펼쳤다면, 최근 들어서는 특정한 목표를 보안 시스템에 걸리지 않도록 흔적을 최소화하며 보다 정밀하고 은밀하게 공격하는 방식으로 변화했다고 구글 클라우드는 설명했다.
구글 클라우드가 분석한 전 세계 2024년 4분기 클라우드 침해 동향에 따르면, 데이터 탈취를 노린 공격이 37%, 고용 사기 등을 포함한 사기(fraud) 공격이 37%를 차지했고 피싱 메일이 5%, 랜섬웨어가 5% 등으로 뒤를 이었다. 맥나마라 애널리스트는 “랜섬웨어 공격과 연관이 있는 데이터 유출 사이트로 인한 피해가 계속 증가하고 있고, 사이트의 수 또한 증가하고 있다”라고 분석했다.
맥나마라 애널리스트는 “구글의 제미나이가 공격자에 의해 어떻게 활용되는지 조사한 결과, 기존에 수행하던 작업 프레임워크를 최적화하거나 효율성을 증대하는 데 활용한 것으로 나타났다”라며 “현재까지는 완전히 새로운 공격 기술이 만들어진 것은 아니다”라고 말했다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
