북한에서 자주 사용해온 ’디트랙(DTrack)’이라는 맞춤악성코드를 통해 조직 내에서 횡단하며 데이터를 수집
북한 정찰총국과 연관된 해커들이 최근 ‘플레이(Play) 랜섬웨어’ 그룹과 협력하여 공격을 감행한 것으로 밝혀졌다. 이번 사건은 팔로알토 네트웍스(Palo Alto Networks)의 유닛42(Unit42) 팀이 지난 9월 사건 대응 과정에서 처음 포착한 것이다. 이들은 ‘점피 파이시스(Jumpy Pisces)’ 또는 ’안다리엘(Andariel)’로 불리며, 지난 5월 타깃 조직의 계정을 통해 최초 접근 권한을 확보한 뒤 9월 랜섬웨어 배포 시점까지 네트워크에 잠입해 있었다.
이 해커들은 북한에서 자주 사용해온 ’디트랙(DTrack)’이라는 맞춤형 악성코드를 통해 조직 내에서 횡단하며 데이터를 수집하고 자격 증명 및 브라우저 데이터를 훔쳤다. 디트랙은 북한 해커 그룹이 자주 사용해온 정보 탈취용 악성코드로, 이번 공격에서 플레이 랜섬웨어 배포 이전까지 네트워크 내 접근 권한과 위치를 유지하는 데 중요한 역할을 했다. 이와 같은 새로운 북한 해커의 협력 방식은 금전적 목적의 사이버 범죄 활동에 북한이 더욱 깊숙이 개입하고 있음을 나타냈다.
이번 사건을 두고 유닛42는 “북한 해커들이 플레이 랜섬웨어 그룹과 협력해 초기에 접근 권한을 판매하는 IAB(Initial Access Broker) 역할을 했을 가능성이 높다”며, “북한의 랜섬웨어 활동이 점차 국제적 재정 범죄의 양상을 띠고 있다”고 분석했다. 이는 이전의 ‘마우이(Maui) 랜섬웨어’ 공격 사례와 같은 맥락에서 북한이 국가 자금 확보와 군사 정보 수집을 위해 랜섬웨어를 활용하고 있다는 점을 시사한다.
이와 같은 북한의 사이버 공격 행태는 러시아와 이란 등의 사이버 범죄 국가와 유사한 경향을 보이며, 랜섬웨어가 간첩 활동뿐만 아니라 수익 창출 수단으로도 활용되는 추세를 반영하고 있다. 최근 미국 사법부는 북한 해커 림종혁을 포함한 북한의 여러 해커 그룹이 의료 및 주요 인프라를 타깃으로 한 랜섬웨어 공격에 연루된 바 있으며, 이를 통해 북한의 정권 운영 자금을 확보하려는 시도가 계속되고 있다고 지적했다.
전문가들은 이러한 랜섬웨어 공격의 진화가 국가 차원의 경제적 이득을 위한 해킹과 얽히면서 국제 사이버 보안에 심각한 위협을 초래할 수 있다고 경고했다. 특히 북한 해커 그룹의 랜섬웨어 전략이 점차 확대되고 있는 상황에서, 글로벌 보안 관계자들은 사이버 방어 태세를 강화해야 한다고 강조했다.