일본에서 발생한 대규모 비트코인 탈취 사건이 북한 해커조직의 소행으로 밝혀졌다. 관계 기업의 데이터를 탈취한 후 이를 악용하는 치밀함이 엿보여 기업들의 주의가 요구된다.
26일 미 연방수사국(FBI)은 일본 기반 암호화폐 회사 'DMM 비트코인(이하 DMM)'에서 3억 800만 달러(약 4천500억원) 상당의 4천502.9 BTC를 북한 해킹조직이 탈취했다고 밝혔다.
DMM은 이번 해킹 사고 여파로 인해 이달 초부터 운영을 중단한 것으로 알려졌다.
FBI측은 탈취 과정에서 트레이드트레이터(TraderTraitor) 방식이 사용된 것을 확인했다며 이러한 공격에 주의할 것을 당부했다.
트레이드트레이터는 북한 해킹 조직 중 라자러스 그룹에서 암호화폐 탈취를 위해 주로 사용하는 공격기법이다. 소셜 엔지니어링 기법과 악성 코드를 연계해 시스템에 침투 후 자산을 탈취한다.
이번 공격은 다른 기업 데이터를 탈취한 후 이를 악용해 기업관계자에 접근하는 등 치밀하게 설계된 것이 특징이다.
북한 해킹 조직은 우선 채용 담당자로 가장해 기업용 암호화폐 지갑 기업인 긴코(Ginco)의 직원에 접근했다. 이들은 입사 전 테스트라는 명목으로 악성코드 스크립트가 포함된 URL을 상대에게 전달해 지갑 관리 시스템에 대한 접근 권한을 탈취하는데 성공했다.
이후 확보한 권한과 데이터를 바탕으로 긴코 직원을 사칭하며 DMM측에 합법적 거래로 위장한 허위거래 요청을 신청해 대규모 암호화폐를 탈취했다.
관련기사
- 외교부 위장 스팸메일, 알고보니 뉴스레터 서비스 ‘스티비’ 해킹 탓2024.12.21
- 알스퀘어, 계정 해킹 의심...외교부 위장 스팸 메일 발송돼2024.12.18
- 美 스타벅스, 해킹으로 마비된 스케줄링 시스템 복구2024.12.12
- 계엄 정보 위장 '해킹 메일' 주의하세요2024.12.12
최근 해킹 조직은 채용, 개발지원 등 개발자와 연계된 밀접한 내용을 바탕으로 잠재적 타깃에 접근하는 것으로 알려졌다. 주로 링크드인에서 채용담당자로 위장하거나 깃허브, 디스코드 등의 개발 커뮤니티에서 악성코드를 숨긴 개발 지원 기능이나 도구를 배포하고 있어 주의가 요구된다.
FBI 측은 "일본 경찰청과 미국 정부, 국제적 파트너들이 함께 북한 해킹 조직의 불법 활동을 통한 정권의 수익을 창출하는 행위를 계속해서 폭로하고 이에 맞서 싸울 것"이라며 "기업들은 이러한 공격 기법을 파악하고 대응을 마련해야 한다"고 강조했다.
