북한 해커들이 암호화폐 기업을 겨냥한 사이버 공격에 애플 기기를 타격하는 새로운 악성코드(Malware)를 활용하고 있다는 분석이 나왔다. 보안 전문가들은 이번 공격이 기존 수법과 흡사한 구성을 갖추면서도 흔치 않은 프로그래밍 언어를 이용해 탐지를 어렵게 만들었다고 경고했다.
미국 사이버보안 기업 센티넬랩스(Sentinel Labs)는 3일(현지시간) 보고서를 통해, 북한 연계 해커들이 메신저 앱 ‘텔레그램’을 통해 신뢰할 수 있는 인물을 사칭한 뒤, 구글 미트 링크를 이용한 가짜 ‘줌’(Zoom) 미팅을 제안한다고 밝혔다. 이후 피해자에게 ‘줌 업데이트 파일’로 위장한 악성 파일을 전달하면서 공격을 개시한다.
해당 파일을 실행하면 맥(Mac) 컴퓨터에 ‘님도어(NimDoor)’라는 악성코드가 설치된다. 님도어는 암호화폐 지갑과 웹브라우저에 저장된 비밀번호 정보를 탈취하는 기능을 갖췄다. 이 악성코드는 최근 암호화폐 산업을 겨냥한 공격에서 주로 발견되고 있다.
그간 맥OS 기기는 보안에 강하다는 인식이 지배적이었으나, 이번 사례처럼 고도화된 수법이 등장하면서 더 이상 안전지대가 아니라는 우려가 커지고 있다. 특히 이 악성코드는 님(Nim)이라는 흔치 않은 프로그래밍 언어로 작성돼 보안 시스템의 탐지를 회피하는 데 유리하다는 분석이다.
센티넬랩스 측은 “공격 초기 단계에서는 사회공학 기법, 유인 스크립트, 가짜 소프트웨어 업데이트 등 기존 북한 해킹 조직의 전형적인 수법이 활용됐지만, macOS 환경에서 님 기반 바이너리를 사용하는 사례는 드물다”며 “보안 소프트웨어의 탐지망을 교묘히 피해가려는 의도가 뚜렷하다”고 지적했다.
이번 공격은 암호화폐 업계를 타깃으로 한 북한의 해킹 전략이 지속적으로 진화하고 있음을 보여준다. 특히 트럼프 대통령 행정부 시절부터 강화된 제재 이후, 북한은 암호화폐 탈취를 외화 획득 수단으로 적극 활용해왔다는 분석이 꾸준히 제기돼왔다.
보안 전문가들은 사용자가 이메일이나 메신저를 통해 받은 소프트웨어 설치 파일에 대해 더욱 신중할 필요가 있다고 강조하고 있다. 암호화폐 프로젝트 관계자 및 투자자들에게는 특히 지속적인 보안 인식 제고와 시스템 점검이 권고된다.