[데이터넷] 북한 배후 해킹조직 라자루스가 미국 ID·액세스 솔루션 기업 점프클라우드(JumpCloud)에 침입, 암호화폐 클라이언트를 공격한 것으로 알려졌다. 점프클라우드는 이 사고로 인해 5명 미만의 고객과 10개 미만의 장치가 손상됐다고 밝혔다. 점프클라우드는 전 세계 18만개 이상 조직에서 사용되고 있으며, 5000명 이상 유료 고객을 보유하고 있다.

점프클라우드는 이달 초 시스템 침해가 발생했다는 사실을 공개하고, 고객들에게 API 키 재설치를 요청했다. 이 사고는 6월에 발생한 것으로 추정되며, 사고를 조사한 크라우드스트라이크는 라자루스의 하위그룹 래버린스천리마(Labyrinth Chollima)와의 관련성을 언급하고 있다. 라자루스는 연쇄적인 공급망 공격으로 공개된 3CX 공격 배후로도 알려진다.

이 사고 조사에 참여한 센티넬원은 이 사고를 ‘공급망 타깃 공격’이라고 정의하며, 수많은 잠재적인 후속 침해가 일어날 가능성이 있다고 설명했다. 북한은 공급망 공격을 효과적으로 수행하기 위해 목표물을 신중하게 설정하며, 이를 통해 얻을 수 있는 깊은 이해를 갖고 있다고 덧붙였다.

더불어 센티넬원은 해커들이 최근 깃허브 고객 대상 사회공학 캠페인에도 관여하고 있다는 것을 언급했다. 깃허브 타깃 공격이 이번 사고와 연결되어 있는지 확실하지 않지만, 계정 탈취와 공급망 공격을 통해 암호화폐 관련 침해를 시도한다는 점에서 연관성을 찾을 수 있다는 설명이다.

깃허브는 지난주 소규모 캠페인이 기술회사 직원 개인 계정을 대상으로 전개되고 있으며, 많은 계정이 블록체인, 암호화폐, 온라인 도박과 연결돼 있다고 밝힌 바있다. 깃허브는 CISA가 “트레이더 트레이터(TraderTraitor)라는 북한 기반 공격자들이 암호화폐 타깃공격을 벌이고 있다”고 발표한 것을 언급하면서 이들과의 관계성도 의심하고 있다.

맨디언트 역시 북한정찰총국(RGB) 내 암호화폐 타깃 공격 조직이 점프클라우드 해킹에 관여했을 것이라고 확신했다. 맨디언트는 이들이 자격 증명과 정찰 데이터를 얻기 위해 암호화폐 관련 기업들을 타깃으로 했다고 설명했다.

오스틴 라슨(Austin Larsen) 구글 클라우드 맨디언트 수석 사고 대응 컨설턴트는 “북한 공격자들은 금전적 목적의 공격 그룹으로, 암호화폐 산업과 다양한 블록체인 플랫폼을 겨냥한 공격을 늘리고 있다. 북한 해커들은 사이버 인프라를 통합하고 공유하기 때문에 종종 배후를 밝히는 것이 어렵다. 하지만 이들의 목표 설정은 여전히 일관적이어서 이번 사건에 연루된 다른 피해 조직이 있을 것이라고 예상한다”고 말했다.

김선애 기자 다른기사 보기