미국 국토안보부(DHS)와 연방수사국(FBI)이 북한 해커들이 은행 등 금융권 공격에 사용한 악성코드 ‘뱅크샷(BANKSHOT)’ 분석결과를 공개하고 주의를 당부했다

미국 침해사고대응팀(US-CERT)은 DHS와 FBI가 북한 해커 조직 '히든 코브라'가 사용하는 트로이 목마 멀웨어 변종 뱅크샷을 분석한 내용을 21일(현지시간) 공개했다.

DHS와 FBI는 북한 정부의 악의적인 사이버활동을 막기 위해 분석 내용을 공개한다고 설명했다. 미국 정부가 공개한 악성코드는 해커 조직 히든 코브라가 사용한 것들이다.

앞서 올해 6월 DHS와 FBI는 북한 관련 해커 조직인 히든 코브라에 대한 경보를 발령한 바 있다. 미국 정부는 히든 코브라가 ‘라자루스’, ‘평화의 수호자'(가디언스 오브 피스)와 같은 조직이라고 지적했다. 라자루스와 평화의 수호자는 방글라데시 은행 등을 사이버공격했으며 2014년 미국 영화사 소니 픽쳐스를 해킹한 조직이다. 미국 정부는 히든 코브라가 분산서비스거부(DDoS) 공격, 원격제어, 데이터 삭제 악성코드 유포 등 다양한 공격 수단을 갖고 있다고 밝혔다.

그런데 이번에 미국 정부는 히든 코브라가 사용하는 악성코드를 공개한 것이다.

이에 대해 최상명 하우리 CERT실장은 “과거부터 현재까지 북한 해커들이 사용하는 악성코드들 중 은행과 관련된 것을 종합해 발표한 것으로 보인다”고 설명했다. 또 외국계 보안업체 전문가는 “미국 정부 당국이 북한을 해커 조직으로 지목한 근거 자료를 공개한 것으로 볼 수 있다”며 “해당 해킹 기법은 국내에서도 이슈가 된 적이 있다”고 설명했다.

미국 정부가 공개한 자료에 따르면 뱅크샷은 7개 파일로 구성돼 있다. 이 악성코드는 2014년부터 2016년까지 수집된 것이다. 이는 수년 전부터 미국 정부가 히든 코브라 조직을 추적해 왔다는 것을 보여주고 있다.

5개는 비슷한 암호 알고리즘을 사용하고 있으며 악성코드와 원격 운영자 간의 네트워크에 관한 기능을 담고 있다. 이중에는 SSL 인증서를 이용해 해커의 네트워크 연결을 위장하는 기능을 갖춘 것도 있는 것으로 알려졌다. 또 나머지 2개 파일은 원격접속도구(RAT)로 해커가 감염된 시스템에서 다양한 명령을 실행할 수 있도록 하고 있다.

특히 뱅크샷은 애플, 구글, 바이두, 페이스북, 마이크로소프트, 트위터, 페이팔, 위키피디아, 비트코인 공식사이트 등의 인증 정보를 이용하는 기법을 사용하는 것으로 알려졌다. 비트코인, 페이팔 관련된 내용이 있는 것으로 볼 때 금전적인 목적이 있을 가능성도 있다.

미국 정부가 이같은 내용을 공개한 것은 북한의 위협을 우려한 조치라는 해석도 있다. 미국 정부는 19일(현지시간) 워너크라이 공격의 배후로 북한을 지목했다. 올해 5월 워너크라이 랜섬웨어가 확산돼 150개국의 20만대의 컴퓨터가 감염된 바 있다.

또 최근 외신들과 전문가들은 북한의 가상화폐 겨냥 공격을 우려하는 목소리도 나오고 있다. 미국 IT매체 테크크런치는 21일(현지시간) 북한이 국제사회의 강화된 제재 속에 하드캐쉬(현금)를 마련하기 위해 비트코인 해킹에 골몰하고 있다고 보도했다.

이에 대해 북한은 강력히 반발하고 있다. 21일 북한 조선중앙통신에 따르면 북한 외무성 대변인은 미국이 국제적으로 커다란 물의를 일으킨 사이버공격 사건을 북한과 억지로 연관시키면서 국제적인 반공화국대결을 고취하고 있다고 주장했다.

대변인은 “미국이 사이버공격 문제를 가지고 북한을 직접 걸고드는 망동을 부리고 있는데 대하여서는 절대로 묵과할 수 없다”며 “우리는 미국의 무분별한 반공화국 책동을 절대로 용납하지 않을 것이며 우리 국가와 제도를 지키기 위해 모든 것을 다할 것”이라고 주장했다. 현실 공간에서 만큼 사이버공간에서도 북한과 미국의 갈등이 고조되고 있는 것이다.

긴장이 고조되면서 국내 보안에 대한 우려도 높아지고 있다. 이에 KISA 관계자는 이에 대해 “미국으로부터 정보를 공유 받아 조치를 하고 있다”고 말했다.

[테크M = 강진규 기자(viper@techm.kr)]