북 해커조직 라자루스, 러시아 사이버 범죄조직 트릭봇과 공조 증거

미 IT 센티널랩스 "라자루스, 트릭봇 통해 피해자 계정에 접근"
"트릭봇, 북한에 서비스 렌트·수수료 수령 가능성"
미 재무부 "북 정찰총국 산하 라자루스 등 3개 북 해킹조직 제재"

북한의 해커 조직인 라자루스 그룹이 러시아 등 동유럽 사이버 범죄조직인 트릭봇(TrickBot)과 공조한 증거가 발견됐다고 로이터통신이 11일(현지시간) 미국 캘리포니아에 본사를 둔 정보기술(IT) 업체 센티널원이 운영하는 센티널랩스는 보고서를 인용해 보도했다./사진=센티널랩스의 사이버범죄 전문가인 비탈리 크레메즈 트위터 캡쳐

북한의 해커 조직인 라자루스 그룹이 러시아 등 동유럽 사이버 범죄조직인 트릭봇(TrickBot)과 공조한 증거가 발견됐다고 로이터통신이 11일(현지시간) 보도했다.

미국 캘리포니아에 본사를 둔 정보기술(IT) 업체 센티널원이 운영하는 센티널랩스는 보고서를 통해 북한 라자루스 그룹이 트릭봇을 통해 피해자들의 계정에 접근하고 있다고 밝혔다고 로이터는 전했다.

로이터는 “보고서는 디지털 갱단과 국가(북한)의 지원을 받는 스파이들이 온라인에서 공통의 기반을 찾고 있다는 점을 시사한다”고 해석했다.

센티널랩스의 사이버범죄 전문가인 비탈리 크레메즈는 “증거를 찾았다”면서 라자루스가 통제하는 서버가 올해 초 칠레의 은행 간 네트워크에 침투하는 데 사용됐는데 그로부터 불과 몇 시간 전에 트릭봇이 이 서버와 교신한 것으로 나타났다고 말했다.

그는 “이것은 라자루스 침입 사건과 연관돼 있을 가능성이 있는 가장 강력한 증거”라며 “트릭봇 사업자들이 북한 사람들에게 서비스를 빌려주거나 수수료를 받고 일하고 있을 가능성이 크다”고 말했다.

크레메즈는 “나에게 이는 가장 큰 크라임웨어(crimeware·온라인 범죄 행위 용이 소프트웨어) 이야기”라며 “라자루스 그룹은 가장 정교하고 가장 자원이 풍부한 러시아의 봇넷 운영과 관계를 맺고 있다”고 설명했다.

봇넷은 컴퓨터에 침입해 정보를 빼내거나 운영체제를 망가뜨리는 ‘봇’이라는 악성 소프트웨어 로봇의 연결망으로 인터넷을 통해 PC 여러 대를 ‘좀비 PC’로 감염시켜 해킹 범행을 일으킨다.

센티널랩스는 라자루스와 트릭봇 운영자들이 협력하는 정황은 이전에도 나타났다면서 지난 4월 트릭봇이 해킹에 노출된 기관에 대한 접근권을 라자루스에 팔았다는 설을 검토하고 있다고 BAE 시스템의 한 연구원이 밝혔다고 전했다.

또 7월에는 일본 통신회사 NTT의 사이버 보안 부서가 북한이 라자루스 및 트릭봇 운영자와 협력하고 있을 것으로 추측했다고 설명했다.

라자루스 그룹은 2007년께 북한의 공작업무를 총괄하는 정찰총국의 3국 110연구소 산하로 만들어졌으며, 중요한 인프라 시설을 비롯해 각국 정부와 군·금융·제조업·출판·언론·엔터테인먼트 분야 등을 겨냥하고 있다고 미국 재무부 해외자산통제국(OFAC)이 지난 9월 13일 ‘블루노로프’ ‘안다리엘’ 등 북한의 3개 해킹조직을 제재하면서 설명했다.

라자루스 그룹은 150여개국에 영향을 주고 30대의 컴퓨터에 피해를 준 2017년 워너크라이 랜섬웨어 사건에 관여했으며, 2016년 방글라데시 중앙은행 해킹 사건, 2014년 미국 기업 소니픽처스 엔터테인먼트 해킹 사건에도 직접적 책임이 있다.

아울러 미 정부는 지난해 9월 라자루스 그룹 멤버인 북한 국적의 박진혁을 기소하고, 박진혁과 소속 회사 ‘조선 엑스포’를 제재 명단에 올렸다. 이는 북한의 사이버 공격 활동에 대한 미국 당국의 첫 제재였다.