[디지털데일리 김보민기자] 북한 지원을 받는 해커 그룹과 기존 랜섬웨어 조직이 협력하고 있다는 조사 결과가 나왔다.

사이버보안 전문 기업 팔로알토네트웍스는 위협 연구기관 유닛42 조사를 통해 북한 배후 해커 조직과 '플레이(Play)' 랜섬웨어 그룹의 협력 사실을 25일 발표했다.

유닛42는 최근 발표한 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 '점피 파이시스(Jumpy Pisces)'가 기존 랜섬웨어 인프라를 사용한 것을 최초 발견했다. 점피 파이시스는 안다리엘, 오닉스슬릿이라는 이름으로도 알려져 있는데, 과거 스파이 활동과 금융범죄 및 랜섬웨어 공격에도 연루된 바 있다. 미국 법무부에 의해 자체 개발한 랜섬웨어 '마우이'를 배포한 혐의로 기소되기도 했다.

유닛42는 북한 지원을 받는 해커들이 점피 파이시스의 수법과 동일하게 유출된 사용자 계정을 통해 피해 조직의 시스템에 침투했다고 설명했다. 초기 접근 권한을 얻은 뒤 '디트랙'이라는 맞춤형 악성코드를 통해 조직 내 횡단하며 활동을 수행한 것으로 추정된다. 디트랙은 북한 해커 조직과 연관된 해킹 사건에서 사용된 정보 수집형 악성코드로, 도난당한 데이터는 GIF 파일로 압축돼 숨겨진다.

유닛42는 북한 해커들과 플레이 랜섬웨어 위협 행위자 간의 협력 여부를 동일한 유출된 계정 사용, 동일한 악성코드 사용 등 여러 기술적 요소를 기반으로 평가했다. 위협 행위자는 인증 정보 수집, 권한 상승, 엔드포인트탐지및대응(EDR) 센서 제거 등의 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했다. 아울러 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.

팔로알토네트웍스는 북한 위협 그룹이 랜섬웨어 공격을 감행할 가능성이 커지면서, 국제 사이버 보안에 위협을 초래할 수 있다고 우려했다. 단순 스파이 활동이 아닌 랜섬웨어 공격의 전조로 인식해야 하며, 경각심을 높여야 할 필요성이 있다고도 강조했다.

박상규 팔로알토네트웍스코리아 대표는 "최근 국내에서도 랜섬웨어 공격으로 인한 피해 사례가 증가하고 있으며, 이는 심각한 보안 위협으로 대두되고 있다"고 말했다. 이어 "특히 공격자들이 인공지능(AI)을 전술에 활용하면서 공격의 정교함과 복잡성이 높아지고 있어, 효과적인 대응이 요구된다"며 "팔로알토네트웍스는 국내 기업의 파트너로서 보안을 책임질 것"이라고 밝혔다.