北 해킹 조직, 암호화폐 강탈로 자금 확보

루크 맥나마라 구글 위협인텔리전스그룹 부수석 애널리스트가 19일 서울 강남구 강남파이낸스센터에서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 최근 사이버 공격 동향을 발표하고 있다. 구글 클라우드 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

[파이낸셜뉴스] 지난 2년 간 한국에서 사이버 추적이나 표적 활동의 영향을 가장 많이 받은 산업군은 제조업인 것으로 나타났다. 특히 자금 조달을 위해 북한 해킹조직이 암호화폐와 블록체인 플랫폼 강탈에 집중하고 있는 것으로 조사됐다.

루크 맥나마라 구글 위협인텔리전스그룹 부수석 애널리스트는 19일 서울 강남구 강남파이낸스센터에서 열린 '구글 클라우드 시큐리티 데이 미디어 브리핑'에서 최근 사이버 공격 동향에 대한 구글 클라우드의 조사 결과를 공유했다.

맥나마라 애널리스트는 "사이버 공격자의 표적 범위가 갈수록 확대되고 위협에 사용되는 기술 또한 계속 늘어나고 있따다. 특히 오늘날 위협 행위자들은 탐지를 회피하는 데 집중하며 기존의 보안 탐지 가시성에서 벗어나 침입을 감행하기 위한 다양한 경로를 모색 중"이라고 밝혔다.

구글 클라우드가 보안 자회사 맨디언트 자료를 인용해 공개한 전 세계 2024년 4분기 클라우드 침해 동향을 보면, 데이터 탈취/갈취, 사기 행위는 각각 37%에 달했다. 피싱 이메일 배포와 랜섬웨어는 각각 5%를 차지했다. 지난해 4분기 맨디언트가 대응한 사고 중 초기 침해 경로가 확인된 약 43%는 피싱 수법을 통해 인증 정보가 유출된 경우였다.

특히 랜섬웨어 및 데이터 갈취 행위와 관련된 데이터 유출 사이트(DLS) 피해 추정 건수는 지속적으로 늘고 있었다. 맨디언트가 2020년 DLS를 추적하기 시작한 이후 지난해가 가장 많은 피해 건수가 발견됐다고 구글 클라우드는 전했다.

글로벌 사이버 범죄에서 가장 주목할 국가는 중국과 북한이다. 중국의 사이버 첩보 활동은 더욱 은밀하고 정교해지고 있으며, 북한은 정권 수익 창출의 주요 통로가 되고 있다고 맥나마라 애널리스트는 전했다.

그는 "과거 광범위한 시스템을 대상으로 대규모 공격을 펼쳤다면 지금 중국 해킹 그룹은 특정한 목표를 겨냥해 보안 시스템에 걸리지 않도록 흔적을 최소화해 보다 정밀하고 은밀하게 공격한다"고 말했다. 북한의 경우 "북한 해킹조직은 암호화폐 기업과 거래소 입장에서 가장 주목해야 할 공격자"라고 지목하며, "미사일 개발 프로그램과 핵 야망, 정권 운영 비용에 대한 자금을 직접 조달하는 동시에 국제 사회의 제재를 피하기 위해 암호화폐 분야와 블록체인 플랫폼 강탈에 집중하고 있다"고 지적했다. 실제로 북한 해킹조직 '라자루스'는 지난 2월 암호화폐 거래소 바이비트를 해킹해 약 14억6000만달러(약 2조1000억원) 규모의 암호화폐를 해킹한 바 있다.

북한 연계 해킹 그룹의 특이점으로는 북한 국적을 숨기고 IT 등 다양한 산업 분야 기업에 고용되어 있는 점이라고도 했다.

맥나마라 애널리스트는 “최근 몇 년 동안 한국에서 가장 많은 사이버 공격의 타깃이 된 산업은 제조업이고, 금융과 미디어, 엔터테인먼트 산업 순"이라며 "북한과 연관된 것으로 알려진 해킹그룹인 APT 45, 라자루스가 한국 내 제조업, 자동차 산업, 방산업체와 반도체 산업을 겨냥하고 있는 것으로 판단하고 있다”라고 전했다.

해킹 활동에 '제미나이'와 같은 생성형AI를 활용하고 있는 것으로 조사됐지만, 아직은 새로운 공격 방식으로 적용된 것은 아닌 것으로 분석됐다. 맥나마라 애널리스트는 "구글의 제미나이가 공격자에 의해 어떻게 활용되는지 조사한 결과, 제미나이로 문제 해결 스트립팅을 수행하고 효율성을 높이는데 활용하고 있다"면서 "다만 현재로서는 제미나이를 생산성 향상을 위한 도구로 사용하는 수준에 그친 것으로 새로운 공격 기법/기능을 개발하진 못한 것으로 보인다"고 덧붙였다.

yjjoe@fnnews.com 조윤주 기자

Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.