북이 만든 가짜 암호화폐 플랫폼 'BloxHolder' 주의령

메모리 포렌식 프로그램으로 유명한 보안 전문업체 Volexity가 9일 "북한의 해커들이 사용자의 인터넷 연결장치를 맬웨어로 감염시켜 네트워크에 접근, 암호화 자산을 훔칠 수 있는 가짜 암호화폐 거래소를 만들었다"고 밝혔다. Malwarebytes 등 관련업체들도 이 주장에 동의했다.

Volexity는 자사의 블로그를 통해 평양에 기반한 것으로 보이는 악명 높은 해킹그룹 라자루스(Lazarus)가 이를 주도했으며 라자루스는 올해 6월부터 가짜 암호화폐 교환을 시작했다고 주장했다. 라자루스는 북한 정보기관인 평양 정찰총국이 관리하고 있는 것으로 알려졌다.
이에 따르면 가짜 암호화폐 거래 플랫폼 ‘BloxHolder’는 사용자들에게 “신뢰할 수 있는 프레미스 거래자동화 솔루션을 통해 20개 이상 거래소에서 암호화 거래 전략을 자동화하십시오"라고 유인한다.

Volexity에 따르면 이 때 사용자에게 AppleJeus 트로이 목마의 변종을 포함하도록 수정된 Microsoft 설치 프로그램 파일을 수락하라는 메시지가 표시된다. 수락하면 2018년 애플저스가 감염된 시스템에 대해 컴퓨터 주소, 컴퓨터 이름 및 OS 버전에 대한 세부 정보를 수집할 수 있고 나중에 해커가 암호화 자산을 훔칠 수 있다는 것이다.

Volexity는 BloxHolder가 일반 거래 플랫폼 HaasOnline의 복제품이라고 주장했다. 두 사이트가 거의 동일한 웹 페이지와 단어 대 단어로 동일한 텍스트를 쓰고 있다는 것이다.

Cryptonews.com, MacAfee, Avast, 안랩 같은 바이러스 차단 소프트웨어가 모두 웹 사이트를 "트로이 목마에 감염된" 또는 "위험한" 웹 사이트로 표시한다. Volexity는 "이 캠페인에 연결된 암호 화폐 테마로 다른 여러 Microsoft 설치 프로그램 파일을 식별했다"고 덧붙였다.

한편 전문가들은 "라자루스 그룹이 암호 화폐 사용자를 대상으로 캠페인과 전술을 지속하고 있다”며 “북한이 남쪽 암호화폐 목표물을 공격하는 것을 막기 위해 남한 당국이 더 많은 일을 해야 한다”고 말했다.


김종길 글로벌이코노믹 기자 kjk54321@g-enews.com