[디지털데일리 최민지기자] 지난해 전세계 가상자산 탈취액 3분의1이 북한 해커 조직 소행으로 추정되는 가운데, 이번엔 가상자산을 훔치기 위해 구글 크롬 취약점까지 악용하는 사례까지 발생했다.

마이크로소프트(MS)는 지난달 30일(현지시간) 원격코드실행(RCE)를 얻기 위해 크롬 제로데이 취약점을 악용한 북한 위협 행위자를 식별했다는 보고서를 공개했다.

MS는 북한 해킹조직으로 알려진 ‘시트린 슬리트(Citrine Sleet)’를 이번 사건 주범으로 지목하고 있다. 북한 정찰총국 산하 121국이 배후에 있는 것으로 알려진 시트린 슬리트는 금융기관과 암호화폐를 관리하는 조직과 개인을 주로 공격한다.

이들은 합법적인 가상자산 거래 플랫폼으로 위장한 가짜 웹사이트를 만들어 구직 신청서를 배포하거나, 악성코드가 있는 가상자산 지갑 및 거래 앱을 다운로드하도록 유인하기도 한다. 자체 개발한 트로이목마 멀웨어 ‘애플제우스(AppleJeus)’로 감염시킨 후, 대상의 가상자산을 탈취하기 위한 관련 정보를 수집한다.

MS 보고서에 따르면 시트린 슬리트는 이번에 구글 크롬의 제로데이 취약점을 악용했다. 제로데이 공격은 아직 공표되지 않거나 조치방안이 발표되지 않은 보안 취약점을 이용한 공격을 의미한다.

MS는 보고서를 통해 “이 취약점을 이용하면 위협 행위자는 샌드박스화된 크롬 렌더러 프로세스에서 원격코드실행(RCE)를 얻을 수 있다”며 “지난달 19일 북한 위협 행위자를 식별했고, 21일 취약점에 대한 수정사항을 출시했다. 사용자는 최신 버전 크롬을 사용하고 있는지 확인해야 한다”고 말했다.

북한은 국제사회 제재를 받으면서, 핵무기 개발 자금을 마련하고 정권을 유지하기 위해 가상자산을 탈취하는 것으로 분석된다.

이와 관련 세스 베일리 미 국무부 대북특별부대표는 지난달 27일 열린 ‘북한 가상자산 세탁 차단 한미 공동 민관 심포지엄’에서 북한이 대량살상무기(WMD)와 탄도미사일 개발자금 약 40%를 가상자산 경로를 통해 조달된다고 추정했다.

베일리 부대표가 인용한 블록체인 리서치업체 TRM랩스 보고서에 의하면, 올해 상반기 해킹에 따른 가상자산 탈취 규모는 13억8000만달러(한화 약 1조8000억원)다.