구글 “북한 연계 해커, 이더하이딩으로 암호화폐 탈취”

구글 클라우드 / 뉴스1

구글 클라우드 위협 인텔리전스 그룹(GTIG)은 북한 연계 해커 그룹 UNC5342가 ‘이더하이딩(EtherHiding)’이라는 신규 공격 기법을 활용해 암호화폐를 탈취하고 민감 정보를 수집한 정황을 확인했다고 17일 밝혔다. 이더하이딩은 탈중앙화 블록체인을 활용해 악성코드 명령을 은폐하는 기법이다.

GTIG에 따르면 UNC5342의 최근 공격은 다단계 악성코드 감염 절차를 통해 윈도우, 맥OS, 리눅스 등 다양한 운영체제(OS)에 영향을 미쳐 피해자의 시스템을 침해했다. UNC5342는 공격에 사용한 악성코드를 변경 불가한 블록체인에 저장하고, 이를 ‘읽기 전용’으로 불러와 익명으로 명령을 지속 제어했으며, 필요에 따라 페이로드(payload·원격 조정 프로그램)를 유연하게 변경했다.

GTIG는 “UNC5342가 이더하이딩 기법을 통해 이들의 공격 활동을 차단하거나 중단시키려는 모든 시도를 무력화하고, 공격을 지속적으로 유지할 수 있는 방안을 확보했다는 점을 시사한다는 점에서 우려스럽다”고 평가했다.

로버트 월레스 구글 클라우드 맨디언트 컨설팅 리더는 “이런 공격 기술의 발전은 위협 환경이 격화되고 있다는 사실을 보여준다”며 “국가 지원 위협 그룹은 수사당국의 조치에 맞서 새로운 작전에 맞게 손쉽게 변형할 수 있는 악성코드를 배포하는 데 신기술을 활용하고 있다”고 말했다.

이재은 기자(jaeeunlee@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>