"北 해커들, 러시아 인터넷 인프라 통해 가상화폐 탈취"

북한 해커들이 러시아 인터넷 인프라를 활용해 가상화폐 탈취 등 사이버 범죄 활동을 벌이고 있다는 분석이 나왔다.

24일(현지시간) 보안 전문회사 트렌드마이크로는 보고서를 통해 러시아 내에서 북한과 연계된 사이버범죄 활동에 사용된 여러 IP 주소 범위를 확인했다고 밝혔다.

이들 IP 주소는 상업용 가상사설망(VPN), 프록시 서버, 원격 데스크톱 프로토콜(RDP)을 이용한 가상사설서버(VPS) 등을 사용하는 대규모 익명화 네트워크에 의해 숨겨져 있었으며 러시아 하산과 하바롭스크에 할당돼 있었다고 이 회사는 설명했다.

트렌드마이크로는 "이는 북한의 주요 사이버 공격 활동이 러시아 하산과 하바롭스크의 인터넷 인프라에서 이뤄지거나 이를 경유한다는 가설로 이어질 수 있다"며 "이러한 인프라는 2017년 구축됐고 2023년부터 규모가 확장됐다"고 분석했다.

아울러 이 회사는 북한이 IT 인력을 배치해 러시아 IP 주소 두 개와 북한 IP 주소 두 개를 연결했다며, 이들 인력이 중국과 러시아, 파키스탄 등지에서 근무하는 것으로 추정했다.

보고서에 따르면 북한과 연계된 해커들은 러시아 IP를 사용해 구인 사이트와 가상화폐 관련 서비스에 접속했다. 특히 구인 사이트에서 미국, 독일, 우크라이나의 정보기술(IT) 전문가들을 표적으로 삼아 접근해, 이들을 가짜 회사와 사기 면접으로 유인했다고 설명했다.

해커들의 목표는 가상화폐, 웹3.0, 블록체인 기술에 관심이 있는 이들 전문가로부터 가상화폐를 훔치는 것이었다고 트렌드마이크로는 설명했다. 이 밖에도 무작위로 숫자를 집어넣어 가상화폐 지갑의 암호를 푸는 활동에도 러시아 IP가 쓰였다고 이 회사는 부연했다.

북한은 최근 수년간 가상화폐 거래소 등에 대한 해킹을 통해 가상화폐를 탈취해 현금으로 세탁한 뒤 핵무기 개발 등에 사용하고 있다는 의혹을 받고 있다.

한미일 3국은 지난 1월 공동성명을 내고 지난해 발생한 6억6000만달러 규모 암호화폐 탈취 사건을 북한 소행으로 공식 지목했다. 지난 2월에는 세계 최대 가상화폐 거래소 중 한 곳인 바이비트가 해킹당해 14억6000만달러 상당의 코인이 탈취당했는데, 이는 북한 해킹 조직 라자루스의 소행으로 추정됐다.

이승형 기자 trust@asiae.co.kr