▲ 신분위장 북한 IT인력 (PG) [강민지 제작] 일러스트

북한 해커들이 러시아 인터넷 인프라를 경유해 해외 가상화폐 탈취 등 사이버 범죄를 벌이고 있다는 분석이 보안 전문회사 조사 결과 확인됐다.

보안 전문회사 트렌드마이크로는 24일(현지시간) 보고서를 통해 러시아 내에서 북한과 연계된 사이버범죄 활동에 사용된 여러 IP 주소 범위를 확인했다고 밝혔다. 해당 IP 주소들은 러시아 하산과 하바롭스크에 할당돼 있었으며, 상업용 가상사설망(VPN)·프록시 서버·원격 데스크톱 프로토콜(RDP)을 이용한 대규모 익명화 네트워크 뒤에 숨겨져 있었다.

트렌드마이크로는 "이는 북한의 주요 사이버 공격 활동이 러시아 하산과 하바롭스크의 인터넷 인프라에서 이뤄지거나 이를 경유한다는 가설로 이어질 수 있다"면서 해당 인프라가 2017년 처음 구축됐고 2023년부터 규모가 확장됐다고 밝혔다. 또한 북한이 IT 인력을 배치해 러시아 IP 주소 두 개와 북한 IP 주소 두 개를 연결했으며, 이들 인력이 중국·러시아·파키스탄 등지에서 근무하는 것으로 추정했다.

이들의 주요 수법은 구인 플랫폼을 악용한 사기 접근이었다. 북한과 연계된 해커들은 러시아 IP를 이용해 구인 사이트에 접속한 뒤, 미국·독일·우크라이나의 정보기술(IT) 전문가들을 표적으로 삼아 가짜 회사와 사기 면접으로 유인했다. 이들의 최종 목표는 가상화폐, 웹3.0, 블록체인 기술에 관심 있는 전문가들로부터 가상화폐를 빼내는 것이었다. 무작위로 숫자를 대입해 가상화폐 지갑의 암호를 푸는 방식에도 러시아 IP가 활용됐다고 트렌드마이크로는 덧붙였다.

북한은 최근 수년간 가상화폐 거래소 해킹을 통해 탈취한 자금을 현금화해 핵무기 개발 등에 전용하고 있다는 의혹을 받아왔다. 한미일 3국은 지난 1월 공동성명을 통해 지난해 발생한 6억 6,000만 달러(약 9,400억원) 규모의 암호화폐 탈취 사건을 북한 소행으로 공식 지목했다. 지난 2월에는 세계 최대 가상화폐 거래소 중 하나인 바이비트가 해킹을 당해 14억 6,000만 달러(약 2조 900억원) 상당의 코인이 사라졌으며, 이 역시 북한 해킹 조직 라자루스의 소행으로 추정됐다. 

이번에 러시아 인프라를 통한 북한의 사이버 활동 정황이 드러나면서, 군사협력을 넘어 사이버 영역에서도 북러 공조가 이뤄지고 있다는 우려가 커지고 있다.