▲ [KCNA]

미국 국토안보부(DHS)가 2014년 소니픽처스 영화사를 해킹한 북한 연계 조직 ‘라자루스’의 수법과 유사한 악성코드를 발견했다고 미 외교 전문지 포린폴리시(FP)가 11일(현지 시각) 보도했다.

지난해 12월 17일에 “advanced persistent threat actors”이름으로 발표된 이 보고서에서 “소니 공격에 사용된 파괴적인 멜웨어와 많은 유사성을 가진 새로운 멀웨어가 또 발견되었다”고 밝혔다.

이 보고서에는 “북한이 ‘스매싱코코넛(smashing coconut)’이라고 불리는 파괴력이 강한 신종 악성코드를 유포한 것으로 보인다”며 “이런 악성코드가 발견된 것은 2014년 소니 해킹 이후 처음”이라고 밝히고 있다. 

보고서는 스매싱코코넛의 유포자를 북한으로 단정짓지는 않았으나, 기술적인 유사점이 많아 북한이 개발했을 것으로 추정된다고 밝혔다.

북한이 소니픽처스를 해킹할 때 사용한 코드와 스매싱코코넛은 그 목적이 데이터를 지우는 데에 있다는 

공통점도 있다. 

북한은 2014년 이른바 ‘와이퍼’를 이용해 소니픽처스의 컴퓨터 시스템에 침투, 대량의 데이터를 삭제했다.

세계적인 보안업체 시만텍의 에릭 젠 분석관은 “북한이 와이퍼를 다시 사용한다는 것은 북한이 미래에 해킹 공격을 준비하고 있고, 소니픽처스 때처럼 특정 데이터를 대거 없애려는 걸 의미할 수 있다”며 “북한이 정치적인 동기가 있다면 이 같은 공격을 할 것”이라고 말했다고 FP는 전했다.

젠 분석관은 이어 “북한은 최근 몇 년 간 강력한 제재에 직면하면서 외화벌이를 위해 비트코인 거래소와 금융기관을 공격하는 데 집중해 왔다”고 지적했다.

최근 몇 년 사이에 북한 해커들은 한국의 비트코인에 대한 공격은 물론 방글라데시 중앙은행에 대한 공격으로 8100만 달러를 벌어들인 것으로 확인된 바 있고, 한국의 은행과 방송국들을 공격한 적도 있다.

스매싱코코넛은 북한의 해킹 의도가 정치적 동기외에 경제적 동기도 있다는 것으로 보아 전과 달라졌음을 시사하기도 한다. 

FP는 익명의 국토안보부 소식통을 인용해 “DHS는 지난달 악성코드 ‘샤프놋(Sharpknot)’을 다루는 보고서를 통해 와이퍼 공격에 대한 경계령을 내렸다”고 전했다. 

이 소식통에 따르면 DHS는 미국 내 네트워크 관리자들에게 북한 해커들이 사용하는 악성코드 종류를 알아두도록 경고하고, 이들이 발견되는 즉시 시스템에서 제거할 것을 당부했다는 것이다.