북한

보안업체 카스퍼스키는 오늘 북한 정부와 관련된 해커들이 VHD로 알려진 새로운 랜섬웨어 변종의 배후에 있다는 내용의 보고서를 발표했다.

이 보고서에는 카스퍼스키가 두 가지 사건에 대해 자세히 설명한 내용이 담겨있다. 침입자는 기업 네트워크에 접근하여 VHD로 알려진 새로운 랜섬웨어를 배포했는데, 카스퍼스키에 따르면 침입에 사용된 도구와 기술이 북한 정부를 위해 일하는 라자루스와 연결할 수 있다고 한다.

이 같은 근거에는 다음과 같은 내용이 포함된다.

  • 최종 페이로드로 VHD를 구현하기 위해 MATA(Dacls) 프레임워크 사용
  • 과거 라자루스 캠페인에서 관찰되었던 피해자의 내부망 진입 후 수평이동하는 기법 사용

카스퍼스키 연구원은 “우리가 보유하고 있는 데이터는 VHD 랜섬웨어가 상용 제품이 아님을 나타내는 경향이 있으며, 우리가 알고 있는 한 라자루스 그룹은 MATA 프레임 워크의 유일한 소유자이다. 카스퍼스키 연구원은 VHD 랜섬웨어가 라자루스에 의해 소유되고 운영된다는 결론을 내리고 있다”라고 언급했다.

더 큰 그림에 적합

북한 해커들은 지난 4년 간 발간된 수많은 이전 보고서들을 토대로 통상 (1) 정보 목적으로 사이버 스파이 활동을 하는 사람과 (2) 북한 정부(미국 재무부가 발표한 국가 무기와 미사일 프로그램을 지원하는 데 사용된다고 믿는 기금)를 위한 자금을 마련하기 위해 금융 범죄를 저지르는 사람으로 구분할 수 있다.

VHD 공격은 (2)번에 해당하는 의심할 여지 없이 해킹을 통해 금전을 탈취하는 작업이다.

라자루스의 다른 자금 조달 활동에는 은행 해킹, 암호화폐 거래소에서 자금 탈취, ATM 현금 인출기 해킹, 마이닝 봇넷 실행, 웹 스키밍(Magecart) 공격 등이 포함된다.

다른 활동으로는 기업 네트워크에 침입하며 데이터를 탈취한 다음 피해자에게 몸값을 요구하기도 한다.

랜섬웨어 공격은 오늘날 가장 수익성이 높은 사이버 범죄 운영의 일부이기 때문에 북한 해커들이 랜섬웨어 공격에 참여하는 것은 놀라운 일이 아니다.

한편, 서양 정보기관은 지난 2017년 5월 전세계에 급속도로 확산된 워너크라인 랜섬웨어가 북한이 제작하고 유포했다고 비난한 바 있다.

[출처 : ZDNet / 2020.07.28.]