북한 사이버 범죄자들의 브라질 암호화폐 및 핀테크 공격 분석

목차

들어가는 말

최근 구글 클라우드의 보고서에 따르면, 북한 사이버 범죄자들이 고도의 멀웨어와 피싱 계획을 사용하여 브라질의 암호화폐 및 핀테크 분야를 타깃으로 하고 있다고 합니다. 이 블로그 포스트에서는 이 최신 보고서를 바탕으로 북한 사이버 범죄자들의 공격 방법과 이를 방어하기 위한 전략을 자세히 분석해 보겠습니다.

북한 사이버 범죄자의 배경

북한은 오랫동안 정부의 지원을 받은 사이버 범죄자들을 통해 다양한 목표를 공격해 왔습니다. 이들은 주로 암호화폐 기업, 항공우주 및 방위산업, 그리고 정부 기관 등을 공격 대상으로 삼고 있습니다. 이런 공격들은 대개 경제적 이득을 목표로 하며, 북한 정부는 이를 통해 외화 획득을 노리는 것으로 보입니다.

풍천(UNC4899)

‘UNC4899’로도 알려진 북한의 악명 높은 사이버 범죄 그룹 풍천(Pukchong)은 이번 보고서에서도 주요 공격자로 지목되었습니다. 이 그룹은 주로 피싱과 멀웨어를 통해 시스템에 침투하여 데이터를 탈취합니다. 최근에는 브라질의 암호화폐 거래소와 핀테크 기업을 주요 타겟으로 삼고 있습니다.

공격 방법

북한 사이버 범죄자들의 공격 방법은 매우 정교하고 다단계로 이루어집니다. 이들은 주로 피싱 이메일을 사용해 의심치 않는 사용자들을 속여 악성 코드를 다운로드시키는 방식으로 접근합니다. 특히 취업 시장을 통해 브라질 시민과 기관을 표적으로 삼는 경우가 많습니다.

피싱 이메일

북한 사이버 범죄자들은 주로 구직자를 표적으로 한 불법 취업 이메일을 통해 첫 번째 접촉을 시도합니다. 이 이메일에는 주로 특정 기업의 채용 공고나 취업 정보를 위장한 파일이 첨부되어 있으며, 사용자가 이를 다운로드하면 악성 코드가 설치됩니다.

멀웨어

브라질 암호화폐 및 핀테크 기업을 대상으로 한 북한의 주요 공격 방법 중 하나는 멀웨어 설치입니다. 이 멀웨어는 시스템에 침투하여 데이터를 탈취하거나 추가 공격을 가능하게 합니다. 미리 설정된 조건이 충족되면, 공격자는 시스템을 원격으로 제어할 수 있습니다.

브라질 암호화폐 및 핀테크 분야 공격

최근 구글 클라우드의 위협 인텔리전스 부서는 북한 정부의 지원을 받는 사이버 공격자들이 브라질의 암호화폐 거래소와 핀테크 회사를 적극적으로 공격하고 있다는 보고서를 발표했습니다. 이들은 특히 암호화폐 시장의 가격 변동을 악용하여 공격을 시도하고 있습니다.

암호화폐 거래소 공격

북한 사이버 범죄자들은 암호화폐 거래소의 보안 취약점을 집중적으로 공략합니다. 이들의 주요 목표는 사용자 계정 정보를 탈취하거나 거래서버를 해킹하여 금전적 이득을 취하는 것입니다. 이를 통해 대규모의 암호화폐를 탈취하거나, 탈취한 정보를 통해 암시장을 통한 현금화도 시도합니다.

핀테크 회사 공격

핀테크 회사 역시 브라질 내에서 주요 공격 대상입니다. 특정 핀테크 기업의 개별 고객 정보나 금융 정보를 탈취하여 이를 협박 또는 금전적 요구의 수단으로 씁니다. 이로 인해 브라질 핀테크 기업은 배후의 위협에 대한 대비책을 강구해야 합니다.

사용된 멀웨어 분석

보고서에서는 “이 프로젝트는 암호화폐 가격을 검색하는 파이썬 앱을 트로이 목마화하여 특정 조건이 충족되면 공격자가 제어하는 도메인에서 2단계 페이로드를 검색하도록 수정됐다”고 밝혔습니다. 이런 종류의 멀웨어는 매우 치명적이며, 감염된 시스템을 대부분 제어할 수 있게 만듭니다.

멀웨어 동작 원리

멀웨어는 주로 악성 파이썬 스크립트를 통해 설치됩니다. 이 스크립트는 초기 악성 페이load를 다운로드하고 실행하는 역할을 합니다. 이후, 미리 설정된 조건이 충족되면, 추가적인 악성 코드를 다운로드받아 실행합니다. 이 과정에서 방화벽이나 백신 프로그램을 우회하는 다양한 기술이 동원됩니다.

유사한 공격 사례

GoPix와 URSA에 의해 실행된 유사한 멀웨어 공격도 브라질의 암호화폐 기업을 대상으로 활동 중인 것으로 밝혀졌습니다. 이들은 특히 암호화폐 가격과 트랜잭션 정보를 악용하여 시스템에 침투하는 전략을 사용합니다.

GoPix 공격 사례

GoPix는 주로 암호화폐 거래소와 관련된 피싱 이메일을 통해 멀웨어를 배포하는 것으로 알려져 있습니다. 이들의 공격 방식은 매우 정교하며, 피싱 이메일에 포함된 링크를 클릭하면, 사용자의 시스템에 악성 코드가 설치됩니다.

URSA 공격 사례

URSA도 브라질 내에서 활발히 활동 중인 사이버 범죄 그룹으로, 암호화폐 트랜잭션 정보를 탈취하는 것을 주요 목표로 삼고 있습니다. 이들은 특정 암호화폐 거래의 중간에 침투하여 거래 정보를 훔치거나 변조합니다.

결론

북한 사이버 범죄자들의 브라질 암호화폐 및 핀테크 분야 공격은 매우 심각한 문제입니다. 이들의 고도화된 공격 방법과 정교한 멀웨어는 쉽게 방어하기 어렵습니다. 따라서 관련 기업과 개인은 보안 의식을 강화하고, 최신 보안 기술을 도입하여 이러한 위협에 대비해야 합니다. 또한, 정부와 기업은 협력하여 공동 대응 전략을 마련해야 할 필요가 있습니다.