[디지털데일리 이종현기자] 북한 해커가 미국 엔터프라이즈 소프트웨어(SW) 기업을 침투한 것으로 확인됐다. 암호화폐 탈취를 위한 징검다리로 삼기 위함으로 추정되는 상황이다.

미국 현지시각 20일 정보기술(IT) 관리 서비스를 제공하는 점프클라우드(JumpCloud)는 자사 블로그를 통해 북한에 의한 해킹이 이뤄졌다고 발표했다. 점프클라우드는 네트워크 관리자가 장치와 서버를 관리하는 데 사용하는 SW를 제공 중이다. 점프클라우드를 기반으로 추가적인 공격을 이어가려는 ‘공급망 공격’의 일환으로 읽힌다.

점프클라우드에 따르면 최초 해킹 정황을 발각한 것은 6월27일이다. 6월22일 위협 행위자가 특정 대상을 타깃으로 삼는 스피어 피싱을 통해 무단으로 시스템에 접근했다. 이에 자격증명 교체를 비롯해 모든 시스템과 로그 분석을 개시했다.

또 7월5일에는 보안 파트너와 관계당국과 합동으로 포렌식 조사를 지속한 결과 일부 비정상적인 활동을 발견하기도 했다. 점프클라우드 최고정보보호책임자(CISO) 밥판(Bob Phan)은 “이들은 고급 기능을 갖춘 정교하고 끈질긴 적”이라며 “정부 및 업계파트너와 긴밀히 협력해 이 위협과 관련된 정보를 공유하겠다”고 전했다.

점프클라우드의 보안 파트너인 크라우드스트라이크(CrowdStrike)는 공격 행위자가 북한이라고 지목했다. 점프클라우드 고객 중 5개 미만 조직이, 총 10개 미만 장치가 영향을 받았다.

구글클라우드의 자회사 맨디언트도 공격 행위자를 북한으로 추정했다. 또 해킹 목적이 암호화폐 탈취를 위함이라고도 부연했다. 실제 북한 해커가 침입하려 한 점프클라우드 고객사는 암호화폐 관련 기업으로 확인됐다.

수석 사고 대응 컨설턴트 오스틴 라슨(Austin Larsen)은 “맨디언트는 현재 점프클라우드 침해로 인해 손상을 입은 하위 피해 조직과 협력 중이다. 초기 분석을 바탕으로 이번 공격이 암호화폐 관련 기업들을 타기팅한 북한 정찰총국 산하 그룹의 소행이라 확신한다”고 밝혔다.

이어서 “이들은 금전적 목적의 공격 그룹으로, 암호화폐 산업과 다양한 블록체인 플랫폼을 겨냥한 공격을 늘리고 있다. 북한 해커들은 사이버 인프라를 통합하고 공유하기 때문에 종종 배후를 밝히는 것이 어렵다. 하지만 이들의 목표 설정은 여전히 일관적이어서 이번 사건에 연루된 다른 피해 조직이 있을 것이라고 예상한다”고 전했다.

북한은 지속적으로 해킹 기술을 돈벌이에 활용하는 중이다. 국가정보원(이하 국정원)에 따르면 북한은 2022년에만 7억달러 이상의 암호화폐를 탈취했다. 대륙간탄도미사일(ICBM) 30발을 발사할 수 있는 규모라는 것이 국정원의 설명이다.

지난 19일 국정원 백종욱 3차장은 사이버안보 간담회에서 북한의 위협이 고조되고 있음을 전했다. 또 “세계 전반에 걸쳐 사이버위협 온도가 조금씩 더 오르고 있는 듯한 양상이다. 온도를 0.02도씩 올리면 개구리가 그대로 삶아져 죽는다고 한다. 사이버위협 온도가 조금씩 올라 대수롭지 않게 생각하고, 심각도를 인지하지 못하면 어쩌나 하는 우려가 있다”고도 피력했다.