"구인·연봉조정 이메일 열지 마세요"…美 보안업체, 北해커 수법 경고

[아시아경제 권해영 기자] 북한 해커 조직이 가상화폐 탈취를 위해 '구인 제안' 또는 '연봉 조정'과 같은 이메일을 발송하는 수법을 쓰고 있다는 미국 보안업체의 분석이 나왔다.

25일(현지시간) 주요 외신에 따르면 미국 정보기술(IT) 보안업체인 프루프포인트는 최근 이 같은 내용을 담은 보고서를 냈다.

보고서는 가상화폐 탈취를 위해 북한 해커들이 사용하는 다양한 수법을 소개했다. 프루프포인트에 따르면 북한 해커 조직인 TA444는 지난해 12월 미국과 캐나다의 금융, 교육, 정부, 의료 분야를 겨냥한 대규모 피싱 공격을 시작했다.

북한의 해킹조직으로 잘 알려진 라자루스와도 겹치는 TA444는 이용자의 비밀번호와 로그인 정보를 얻기 위해 기존과는 다른 수법을 사용했다. 악성 프로그램을 직접 배포했던 기존 방식에서 벗어나 피싱 필터를 피하기 위해 이메일을 이용했고, 구인 제안 또는 연봉 조정과 같은 콘텐츠를 만들어 접근했다. 이용자들을 접촉하기 위해 소셜 미디어 네트워킹 서비스 링크드인에도 의존했다.

TA444가 지난해 12월 한 달간 보낸 스팸 메일이 지난해 1년 동안 보낸 이메일의 거의 두 배에 달했다고 프루프포인트는 분석했다. 이 조직은 지난 2021년 4억 달러(약 4900억원)에 가까운 규모의 가상화폐 자산을 탈취했고, 지난해에는 10억 달러(1조2400억원) 이상을 모았다고 보고서는 추정했다.

북한은 국제사회의 강력한 제재 속에 외화벌이를 위해 해킹 등 사이버 범죄로 눈을 돌리고 있다. 미국 연방수사국(FBI)에 따르면 북한 연계 해킹 조직인 라자루스와 APT38은 지난해 미국 블록체인 기업에서 가상화폐 1억 달러(약 1200억원)를 탈취했다.

그레그 레스뉴이치 프루프포인트 수석 연구원은 "TA444는 스타트업 마인드를 갖고 있다"며 "해킹을 위해 도움이 되는 다양한 (악성코드) 감염을 테스트하고 있다"고 분석했다. 그러면서 "그들은 소셜 미디어를 이용한 새로운 공격 방법을 빠르게 구상한다"며 "TA444가 세탁 가능한 자금을 들여와 북한의 현금 공급을 주도하고 있다"고 밝혔다.

권해영 기자 roguehy@asiae.co.kr