"北, 암호화폐 거래 인프라에 악성코드 심었다"... 구글 분석 보고서 발표

임종철 디자이너 /사진=임종철 디자이너

북한 해커 그룹이 이더리움 등 가상자산(암호화폐) 거래를 가능케 하는 블록체인 스마트계약에 악성코드를 심어 피해자 계좌에서 가상자산을 탈취하거나 개인정보를 탈취하는 등 공격을 하고 있다는 사실이 확인됐다.

구글 위협정보 그룹(GTIG)은 16일 이 기관이 UNC5342라는 식별 번호를 붙인 북한 연계 위협그룹이 퍼블릭·탈중앙화 블록체인을 활용해 악성코드 명령을 은폐하는 이더하이딩(EtherHiding) 기법으로 암호화폐를 탈취하거나 민감정보를 수집하고 있다는 내용의 보고서를 발간했다고 밝혔다.

실제 오프라인 환경에서 거래 당사자들이 돈을 주고 재화나 용역을 받는 등 거래를 수행하듯 블록체인망에서도 가상자산을 주고받는 과정의 다양한 거래가 이뤄진다. 이를 수행하게 해주는 게 스마트계약이다. 중개인이 없이 컴퓨터가 거래조건이 이뤄지는 즉시 가상자산 이체로 계약을 성사시키는 게 스마트계약이다.

북한 해커그룹은 BNB 스마트체인, 이더리움 기반 스마트계약을 악용했다. 이 해커그룹이 올린 스마트계약에 흥미를 가진 이용자가 해당 계약을 실행하면 북한 해커그룹이 심어둔 스마트계약 안의 악성코드가 실행되는 구조다. 이 악성코드가 실행되면 피해자의 PC 등 단말기에 악성코드를 심어 추가적인 개인정보 등 민감정보를 탈취하거나 피해자 지갑 속 가상자산을 탈취하는 데 악용될 수 있다는 게 GTIG의 설명이다.

이같은 방식의 공격은 중앙 서버가 없이도 기존 많은 이용자들이 쓰고 있는 블록체인 인프라를 활용해 악성코드를 배포할 수 있다는 점에서 공격자들이 선호한다. 블록체인은 변조가 어렵고 공개돼 있어서 보안 시스템도 이를 악성으로 파악하기 어려워 공격자들이 훨씬 지속적이고 은밀하게 공격을 진행할 수 있다.

GTIG는 "UNC5342의 이번 공격은 다단계 악성코드 감염 절차를 통해 윈도우, 리눅스, 맥OS 등 다양한 운영체제에 영향을 미쳐 피해자의 시스템을 침해했다"며 "공격자는 공격에 사용한 악성코드를 변경 불가한 블록체인에 저장하고 이를 '읽기 전용'으로 불러와 익명으로 명령을 지속 제어했고 필요에 따라 페이로드를 유연하게 변경할 수 있었다"고 설명했다.

또 "UNC5342가 이더하이딩 기법으로, 공격활동을 차단하거나 중단시키려는 모든 시도를 무력화하고 공격을 지속적으로 유지할 수 있는 방안을 확보했다는 걸 시사한다는 점에서 이번 조사 결과가 의미가 있다"고 했다.

황국상 기자 gshwang@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.