암호화폐 훔치는 北 해킹조직…구글 크롬 취약점 노려 공격 감행

(서울=뉴스1) 윤주영 기자 = 북한 해킹조직 '시트린 슬리트'(Citrine Sleet)가 지난달 암호화폐 탈취를 목적으로 한 사이버 공격을 수행한 것으로 드러났다. 공격은 웹브라우저 구글 크롬이 미처 패치하지 못한 취약점 '제로데이'를 틈타 감행됐단 분석이다.

1일 업계에 따르면 마이크로소프트(MS)는 최근 이런 내용을 자사 공식 블로그를 통해 보고했다.

이에 따르면 MS는 시트린 슬리트의 원격 코드 실행(RCE) 공격을 지난달 19일 인지했다. 이들은 128.0.6613.84 이전 버전 크롬이 품고 있는 CVE-2024-7971 취약성을 파고들어 악성 소프트웨어(멀웨어) 등을 원격 실행했다.

구글은 공격이 인지된 이틀 뒤에 해당 취약점을 업데이트한 상황이다.

MS는 시트린 슬리트의 주 활동 목적을 가상자산 탈취로 보고 있다. 암호화폐를 다루는 기관, 개인 등을 공격 대상으로 삼고 광범위하게 정보도 수집했다고 덧붙였다.

주된 방식은 가짜 암호화폐 플랫폼이나 구직 신청서 등을 배포해 피싱을 시도하는 것이다. 악성코드가 담긴 암호화폐 지갑이나 거래 앱을 다운로드받게 유도한다.

MS에 따르면 이들은 '애플제우스'라는 자체 개발 트로이 멀웨어로 공격 대상을 감염시킨다. 해당 멀웨어는 가상자산 접근·제어에 필요한 정보를 수집할 수 있다.

시트린 슬리트의 배후로는 북한 정찰총국 산하 121국이 있을 것으로 추정된다. 정찰총국은 라자루스, 안다리엘 등 해킹조직을 거느리고 있다.

미국 정부는 시트린 슬리트와 같은 북한 해킹 조직이 정권을 지원하고자 가상자산 업체, 게임 회사, 거래소 등을 지속해서 공격할 것으로 전망한다.

현재 시트린 슬리트로 인한 피해 규모는 정확히 파악되지 못했다.

다만 블록체인 리서치업체 TRM랩스 보고서 등에 따르면 지난해 전 세계 가상자산 탈취액의 3분의 1은 북한 해커 소행으로 추정된다. 한국개발연구원(KDI)에 따르면 북한은 자금세탁을 통한 대북제재 우회, 활동자금 등을 목적으로 암호화폐를 탈취하고 있다.

MS는 피해 예방 관련해서 "사용자는 최신 버전의 크롬을 사용하고 있는지 확인해야 한다"고 당부했다.

legomaster@news1.kr