세계일보

최근 ‘용산구 이태원 사고 대처상황’이라는 제목의 거짓 보고서를 통해 사이버 공격을 일삼은 북한이 이번에는 텔레그램 메시지에 첨부된 앱에 악성코드를 심어 유포한 것으로 확인됐다.

지난 14일(현지시간) 사이버 보안업체 3곳의 정보를 입수해 보도한 미국 매체 블룸버그통신에 따르면, 북한 해커들은 현재 가상화폐 지갑 애플리케이션 ‘소모라’를 배포하고 있다.

‘소모라’에는 해커들의 악성코드가 담겨있다.

해커들은 텔레그램 메시지 등을 통해 이 앱을 내려받을 수 있는 인터넷 주소를 유포하고 있다. 피해자(투자자)가 휴대전화에 앱을 설치하면 해커들은 피해자의 가상화폐에 접근해 이를 훔칠 수 있게 된다.

‘소모라’의 인터페이스(UI)는 100만회 이상 다운로드된 실제 가상화폐 지갑 앱 ‘마이시리엄’을 모방해 만들어졌다. 이 가짜 앱은 ‘마이시리엄’의 실제 홍보 문구까지 그대로 따라해 이용자들이 쉽게 속을 수 있다.

이 앱은 애플 앱스토어나 구글 플레이 등에서는 유통되지 않는다.

정보보안업체 BAE 시스템스(영국)와 맨디언트(미국)는 현재 소모라 앱의 배후에 북한 당국의 지원을 받는 해커가 있다고 파악중이며, 고객들에게 이 앱에 대해 경고했거나 관련 작업을 중비중이다.

아울러 사이버보안 업체 ‘볼렉시티’(미국) 역시 북한의 대외 테러 등을 담당하는 정찰총국과 연계된 것으로 알려진 해킹단체 ‘라자루스’가 악성코드를 포함한 가짜 가상화폐 거래 앱 ‘블록스홀더’를 유포하고 있다고 분석했다.

블룸버그는 국제사회의 제재에 직면한 북한이 가상화폐 해킹을 통한 자금 탈취에 열을 올리고 있으며, 미국 당국은 북한 미사일 개발 프로그램에 쓰인 자금의 3분의 1 가량이 이러한 방식으로 마련됐을 것으로 보고 있다고 보도했다.

앞서 북한은 서울 용산구 이태원동에서 지난 10월29일 발생한 대규모 압사 사고도 사이버 공격에 이용했다.

구글의 보안 플랫폼 위협분석그룹(TAG)은 지난 8일(현지시간) 홈페이지 보고서를 통해 사고 직후인 10월 말 북한 해킹조직 ‘APT37’이 ‘용산구 이태원 사고 대처상황’이라는 제목의 워드 파일에 악성코드를 심어 유포했다고 밝힌 바 있다.

이 문서는 중앙재난안전대책본부 보고서 양식을 모방해 작성됐으며, 사고개요와 인명피해, 조치 상황 등이 기재돼 있다. 파일을 열람하면 악성코드가 즉시 실행된다.

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]