북한 해킹조직이 애플 컴퓨터 운영체제의 취약점을 이용해 암호화폐 해킹 공격에 나서고 있다는 지적이 나왔습니다. 기존 윈도 운영체제보다 보안이 뛰어나 해킹이 어려운 것으로 알려진 애플 운영체제까지 북한이 노리고 있다는 분석입니다. 조상진 기자가 보도합니다.
세계 최대 인터넷 기업인 구글 산하 사이버 보안업체 맨디언트는 최근 북한 정권의 후원을 받는 해킹조직이 미국의 컴퓨터 회사 애플의 컴퓨터 운영체제(macOS)를 악용해 대규모 암호화폐 탈취를 시도했다고 밝혔습니다.
맨디언트는 보고서에서 최근 북한의 암호화폐 해킹 사건을 조사하는 과정에서 애플 운영체제의 프로그램 번역 기술인 'Rosetta 2'의 취약점을 노린 정황을 포착했다고 밝혔습니다.
Rosetta 2는 오래된 프로그램을 새로운 애플 컴퓨터에서도 실행할 수 있게 해주는 기술로, 원래는 프로그램 또는 운영 체제간 변환을 용이하게 하기 위해 개발됐습니다.
맨디언트는 북한이 오래된 프로그램에서만 작동하도록 만들어진 ‘POOLRAT’이라는 악성코드를 새로운 애플 컴퓨터에서도 작동하도록 하기 위해 Rosetta2를 악용했다고 설명했습니다.
이로써 북한은 기존 악성 프로그램을 새로 개발하지 않고도 그대로 사용할 수 있게 됐습니다.
“피해 컴퓨터 원격조종해 정보 탈취”
보고서는 북한은 이를 통해 컴퓨터를 원격으로 조종할 수 있는 ‘백도어’ 역할을 하는 POOLRAT 악성코드를 애플 컴퓨터에 몰래 설치했으며, 이를 이용해 파일 권한 변경, 관리자 권한 획득, 사용자 정보 탈취 등의 공격을 감행했다고 밝혔습니다.
[보고서] “In a Democratic People's Republic of Korea (DPRK) crypto heist investigation, Mandiant observed a x86-64 variant of the POOLRAT macOS backdoor being deployed and the attacker proceeding to execute universal system binaries including ping, chmod, sudo, id, and cat through the backdoor. This resulted in AOT files being created and provided evidence of attacker interaction on the system through the malware.”
북한이 단순한 정보 탈취를 넘어 컴퓨터를 완전히 장악할 수 있는 강력한 악성코드를 사용해 피해자의 암호화폐 관련 정보에 접근했다는 설명입니다.
이어 북한 해킹 조직은 악성 코드를 배포한 후 암호화폐 탈취를 완료하자마자 몇 분 내에 원본 악성 코드를 삭제해 흔적을 지우려 했다고 설명했습니다.
그러나 Rosetta 2를 통해 악성 코드가 실행될 때 생성된 AOT 파일을 포렌식 분석한 결과, “북한 해커가 악성 코드를 통해 시스템과 상호 작용했다는 증거를 확보했다”고 밝혔습니다.
그러면서 애플 운영체제에 대한 해킹 조사 시 중요한 단서가 될 수 있다고 강조했습니다.
보고서는 또한 북한이 주로 윈도우 체제의 오래된 컴퓨터에서 작동하는 악성 프로그램을 굳이 Rosetta 2를 이용해 변환한 이유에 대해, 애플 운영체제의 높은 보안성에 비해 더 느슨한 보안 요구 사항과 높은 호환성을 갖추고 있기 때문이라고 분석했습니다.
그러면서 앞으로 이러한 기술이 다른 해킹 공격에서도 사용될 가능성에 대해서도 예의주시해야 한다고 경고했습니다.
애플의 컴퓨터 운영체제는 일반 윈도우 운영체제에 비해 일반적으로 보안이 더 강하고 해킹이 어려워 사이버 보안 관계자들과 암호화폐 거래소 등에서 보안 목적으로 사용하는 경우가 많은 것으로 알려져 있습니다.
“애플 운영체제 겨냥 ‘맞춤형 악성코드’ 가능성”
애플사의 시스템 보안을 담당하는 ‘잼프(Jamf)’의 패트릭 워들 보안 담당 책임연구원은 7일 VOA와의 전화통화에서 북한의 이번 해킹에 대해 애플 운영체제를 겨냥해 악성 프로그램을 맞춤형으로 변환했거나 새로 고안했을 가능성을 제기했습니다.
[녹취: 워들 연구원] “This is likely what they did either porting it or probably completely rewrote it to target mac systems. Once they tested it in the background, the updated component would persist and beacon back to the hacker's command and control server giving the North Koreans access to the cryptocurrency exchanges meaning funds and in some cases, you know, user's cryptocurrency.”
암호화폐 업계가 해킹에 대비해 보안이 더 강력한 애플 운영체제 사용을 선호하는 상황에서 북한이 이를 우회하기 위해 새로운 해킹 기술 개발에 노력하고 있다는 것입니다.
그러면서 “북한이 점점 더 자금 탈취를 목적으로 해킹하는 추세를 보이고 있다”고 지적했습니다.
[녹취: 워들 연구원] “This is a trend we're seeing more and more again driven by money. Now due to all the financial sanctions, the North Koreans have turned to hacking cryptocurrency exchanges as a means to fund their which kind of, you know, ingenious, right? If your supply of cash, traditional banks, you know, are not lending to you or your assets are being seized if you can hack into and steal cryptocurrency, that might be a way for you to anonymously still raise money for military operations or whatever.”
워들 책임연구원은 국제사회의 금융 제재를 받고 있는 북한이 자금 마련을 위해 암호화폐 거래소를 해킹하는 방법을 계속 사용하고 있다고 말했습니다.
그러면서 기존 국제금융체계 안에서 자금 조달이 어려워진 북한으로서는 암호화폐 해킹을 통해 군사 및 기타 활동을 위한 자금을 마련하기 위해 암호화폐 탈취에 계속 나설 가능성이 크다고 진단했습니다.
앞서 미국의 암호화폐 분석기업인 체이널리시스는 지난달 27일 발표한 ‘2025암호화폐 범죄 보고서’에서 지난 2023년 총 20건의 사건을 통해 약 6억 6천50만 달러를 탈취했던 북한 연계 해커들이 지난해에는 총 47건의 사건에서 13억 4천만 달러를 훔쳐, 탈취 금액 기준으로 102.88%가 증가했다고 밝혔습니다.
VOA 뉴스 조상진입니다.
![[인터뷰:부디쉬 시카고대 교수] "북한 암호화폐 해킹, 블록체인 보안 취약성 노출…신뢰 위협"](https://gdb.voanews.com/bb17d5db-fcee-44f9-a57b-9fda288d62d9_w100_r1.jpg)
![[인터뷰:부디쉬 시카고대 교수] "북한 암호화폐 해킹, 블록체인 보안 취약성 노출…신뢰 위협"](https://gdb.voanews.com/bb17d5db-fcee-44f9-a57b-9fda288d62d9_w33_r1.jpg)
Forum