팔로알토 네트웍스가 위협 연구 기관 유닛 42(Unit42)의 조사를 바탕으로 북한의 지원을 받는 해커 조직과 플레이(Play) 랜섬웨어 그룹의 협력을 최초로 밝혀냈다.
유닛42는 랜섬웨어 공격 조사에서 북한 인민군의 정찰총국과 연관된 해커 조직 ‘점피 파이시스(Jumpy Pisces)’가 기존 랜섬웨어 인프라를 사용한 것을 최초로 발견했고, 이러한 북한 연관 해커의 전술·기법·절차 변화는 랜섬웨어를 포함한 금전 목적 사이버 범죄 활동에 깊숙이 관여하고 있음을 나타낸다고 말했다.
점피 파이시스는 ‘안다니엘(Andariel)’ 또는 '오닉스슬릿(Onyx Sleet)'으로도 불리며, 과거 사이버 스파이 활동 및 금융 범죄 및 랜섬웨어 공격에 연루된 바 있다. 또한, 자체 개발한 랜섬웨어인 ‘마우이(Maui)’를 배포한 혐의로 기소된 적 있다.
유닛42는 북한의 지원을 받는 해커가 유출된 사용자 계정으로 피해 조직 시스템에 침투해 초기 접근 권한을 얻은 뒤, ‘디트랙(DTrack)’이라는 맞춤형 악성코드로 지속적인 활동을 해온 것으로 추정했다. 디트랙은 정보 수집형 악성코드로, 도난당한 데이터는 GIF 파일로 압축돼 숨겨진다.
유닛42는 북한 해커와 플레이 랜섬웨어 위협 행위자 간 협력 여부를 ‘동일한 유출된 계정 사용’, ‘동일한 악성코드 사용’ 등 여러 요소를 기반으로 평가했다. 위협 행위자는 ‘인증 정보 수집’, ‘권한 상승’, ‘EDR 센서 제거’ 등 사전 랜섬웨어 활동을 수행해 최종적으로 플레이 랜섬웨어를 배포했다. 더불어 브라우저 기록, 자동 완성 데이터 및 신용카드 정보를 탈취하기 위해 다른 도구도 사용한 것으로 밝혀졌다.
박상규 팔로알토 네트웍스 코리아 대표는 “최근 국내에서도 랜섬웨어 공격으로 인한 피해 사례가 증가하고 있고 이는 심각한 보안 위협으로 대두되고 있다”며 “특히, AI를 전술에 활용하면서 정교함과 복잡성이 높아지고 있어 이에 대한 효과적인 대응이 요구된다”고 밝혔다.
헬로티 구서경 기자 |
