북한 정찰총국 산하 해킹 조직이 미국 내에 법인을 설립하고, 이를 통해 암호화폐 개발자를 대상으로 악성코드를 유포한 정황이 드러났다고 로이터통신이 24일(현지시간) 보도했다.
사이버 보안 기업 사일런트 푸시(Silent Push)에 따르면, 해당 조직은 미국 재무부 제재를 위반하고 뉴멕시코와 뉴욕에 각각 ‘블록노바스(Blocknovas) LLC’와 ‘소프트글라이드(Softglide) LLC’라는 회사를 설립했다. 세 번째 관련 조직인 ‘앤젤로퍼 에이전시(Angeloper Agency)’는 미국 등록 기록은 없는 것으로 나타났다.
사일런트 푸시의 케이시 베스트는 북한 해커들이 최소 3종 이상의 기존 악성코드를 사용해 피해자를 감염시키고, 네트워크 접근 및 추가 악성코드 유포가 가능하도록 설계했다. 또한 “북한 해커들이 미국 내에서 실제 법인을 설립해 채용 지원자를 공격한 드문 사례”라고 밝혔다.
미국에 가짜 법인을 설립한 해당 조직은 북한 정찰총국 산하 해킹 조직인 ‘라자루스(Lazarus)’ 소속 하위 그룹으로, 블록노바스를 통해 구직자에게 가짜 구직 공고를하고 이를 통해 악성 소프트웨어를 설치한 것으로 나타났다. 공격 대상은 암호화폐 개발자의 지갑, 비밀번호, 인증 정보를 포함한다.
블록노바스 등록에 사용된 주소는 사우스캐롤라이나주 워렌빌의 공터였으며, 소프트글라이드는 뉴욕 버펄로의 한 세무 사무소를 통해 등록된 것으로 나타났다. 결국 블록노바스 웹사이트는 FBI에 의해 압수됐으며, 북한 해커들이 가짜 구직 공고로 악성코드를 유포한 혐의에 따른 조치라고 밝혔다.
한편 뉴멕시코주 국무장관실은 블록노바스의 등록이 형식상 적법했으며, 북한과의 연관성을 식별할 수 없었다고 밝혔다.
미국과 유엔의 대북 제재에 따라서, 북한이 통제하는 법인의 미국 내 등록은 위법이며, 북한 정부나 군에 자금 조달이 되는 상업적 활동은 금지된다.
미국, 한국, 유엔은 북한이 암호화폐 해킹 및 해외 IT 인력 파견 등을 통해 핵 개발 자금을 확보하고 있다고 보고 있다.
