"누가 훔쳤나 했더니"…북한 해커, 러시아 IP로 코인 싹쓸이

[이데일리 한전진 기자] 북한 해커들이 러시아의 인터넷 인프라를 활용해 해외 가상화폐 탈취 등 사이버 범죄를 벌이고 있다는 분석이 나왔다.

24일(현지시간) 보안 전문회사 트렌드마이크로는 보고서를 통해 “러시아 내에서 북한과 연계된 사이버 범죄 활동에 사용된 다수의 IP 주소를 확인했다”고 밝혔다. 해당 IP들은 가상사설망(VPN), 프록시 서버, 원격 데스크톱 프로토콜(RDP) 기반 가상사설서버(VPS) 등을 통해 익명화된 상태였으며, 러시아 하산과 하바롭스크 지역에 할당된 것으로 파악됐다.
트렌드마이크로는 “북한의 주요 사이버 공격이 이들 지역의 인터넷 인프라를 경유하거나 직접 수행됐을 가능성이 크다”며 “이 인프라는 2017년 구축돼 2023년부터 규모가 확대됐다”고 설명했다.

또한 북한이 IT 인력을 통해 러시아와 북한의 IP를 연결해 운용 중이며, 해당 인력들이 중국, 러시아, 파키스탄 등지에서 활동하는 것으로 추정된다고 덧붙였다.

보고서에 따르면 북한 해커들은 러시아 IP를 이용해 구인 사이트와 가상화폐 관련 플랫폼에 접속했다. 이들은 미국, 독일, 우크라이나 등 IT 전문가들을 표적으로 삼아 가짜 기업과 허위 면접을 미끼로 접근한 뒤, 가상화폐·블록체인·웹3.0 기술에 대한 정보를 노리고 범행을 저질렀다.
아울러 가상화폐 지갑의 암호를 무작위 대입 방식으로 푸는 공격에도 러시아 IP가 활용된 것으로 나타났다.

북한은 그간 가상화폐 해킹을 통해 막대한 자금을 탈취, 이를 현금화해 핵무기 개발 자금으로 사용하고 있다는 의혹을 받아왔다. 지난 1월 한미일 3국은 공동성명을 통해 약 6억 6000만달러 규모의 암호화폐 탈취 사건을 북한 소행으로 공식 지목했다.

이어 2월에는 세계 최대 가상화폐 거래소 중 하나인 바이비트가 해킹당해 14억 6000만달러 상당의 코인이 탈취됐으며, 이 역시 북한 해킹조직 ‘라자루스’의 소행으로 추정되고 있다.