북한, 선 세게 넘었다...北해커가 '이태원 참사' 보도자료 위장해 사이버 공격 퍼부었다

7일(현지시간) 구글 위협분석그룹(TAG)은 보고서를 통해 지난 10월 북한 해킹조직 'APT37'이 이태원 참사 보고서를 사칭한 악성코드를 배포했다고 밝혔다(TAG 제공). 2022.12.7. / 뉴스1

[뉴스1] 김성식 기자 = 북한 해킹조직이 지난 10월 발생한 이태원 참사 비극을 악용해 사이버 공격을 감행한 것으로 드러났다. 암호화폐 투자회사를 가장해 관련 투자자에 접근한 정황도 포착됐다.

자유아시아방송(RFA)은 7일(현지시간) 구글 보안 보고서를 토대로 "지난 10월 북한 해킹조직 'APT37'이 '용산구 이태원 사고 대처상황'이란 제목의 악성 문서를 한국인들에게 배포하고 악성코드를 설치했다"며 이 같이 보도했다.

구글 위협분석그룹(TAG)에 따르면 해당 문서는 행정안전부 중앙재난안전대책본부 명의 보고서로 사고개요와 인명피해, 조치사항 등이 보도자료 형태로 비교적 상세하게 작성됐다.

김정은 국무위원장 / GettyImagesKorea

구글은 APT37이 인터넷 익스플로어 내 제로데이 취약점(CVE-2022-41128)을 이용해 악성코드를 심은 것으로 보고 있다. ATP37은 과거 '돌핀'이나 '블루라이트' 등의 악성코드를 배포한 바 있다. 구글은 후속 보안 조치를 완료했다고 밝혔다.

김정은 국무위원장 / GettyImagesKorea

구글은 "APT37이 인터넷 익스플로어 취약점을 악용해 해킹 공격을 한 것이 이번이 처음은 아니다"라며 "과거에도 한국인과 탈북자, 정치인, 언론인, 인권 운동가 등을 대상으로 해킹을 했다"고 지적했다.

이날 RFA는 북의 해킹조직 'DEV-0139'가 암호화폐 투자회사로 위장해 사회관계망서비스(SNS) 텔레그램으로 투자자들에게 접근한 정황도 보도했다.

기사의 이해를 돕기 위한 자료 사진 / GettyimagesKorea

마이크로소프트(MS) 보고서에 따르면 DEV-0139는 암호화폐 거래소별 거래수수료 등을 비교한 엑셀 문서에 악성 소프트웨어를 심어 암호화폐 고액 투자자들을 상대로 배포한 것으로 조사됐다.

김정은 국무위원장 / GettyImagesKorea

MS는 이들이 미국 사이버 보안업체 볼렉시티가 공개한 해킹 조직으로 악성코드 '애플제우스'와 'MSI'로 알려진 변형 멀웨어(악성 소프트웨어)를 사용하고 있다고 밝혔다.

MS는 "암호화폐 시장은 여전히 해킹조직의 관심 분야"라며 "(해킹) 성공 가능성을 높이기 위해 신뢰할 수 있는 통로를 통해 피해자를 식별하고 있다"고 지적했다.

기사의 이해를 돕기 위한 자료 사진 / GettyimagesKorea