MS “북한 해커 조직, 서비스형 랜섬웨어 ‘킬린’ 사용”

북한 해킹 조직이 사이버 공격에 처음으로 더욱 빠르고 은밀한 공격이 가능한 외부 서비스형 랜셈웨어를 사용한 것으로 드러났습니다. 지난해 새롭게 포착된 북한 해킹 조직이 범죄 수법을 다양화하고 있습니다. 안소영 기자가 보도합니다.

세계 최대 IT 기업 중 하나인 마이크로소프트(MS)사가 10일 북한 해킹 조직 문스톤 슬릿(Moonstone Sleet)의 최근 사이버 공격에서 서비스형 ‘킬린’(Qilin) 랜섬웨어가 사용된 사례를 포착했다고 밝혔습니다.

MS사는 이날 발표한 위협 정보 관련 보고서에서 지난 2월 말부터 문스톤 슬릿의 이같은 공격 유형을 발견했다면서 “문스톤 슬릿의 이전 공격은 자신들이 개발한 맞춤형 랜섬웨어만을 사용했으며, 이번 경우는 이들이 서비스형 랜섬웨어(RaaS)를 이용한 첫 사례”라고 지적했습니다.

[마이크로소프트사] “Since late February 2025, Microsoft has observed Moonstone Sleet, a North Korean state actor, deploying Qilin ransomware at a limited number of orgs. Moonstone Sleet has previously exclusively deployed their own custom ransomware in their attacks, and this represents the first instance they are deploying ransomware developed by a RaaS operator.”

랜섬웨어는 피해자의 데이터나 장비를 잠그고 피해자가 공격자에게 몸값을 지불하지 않으면 잠금을 풀어주지 않거나 더 손상시키겠다고 협박하는 악성 코드입니다.

은밀한 사이버 공격 가능

특히 서비스형 랜섬웨어(RaaS)는 비용을 지급하면 랜섬웨어 공격을 할 수 있도록 서비스 형태로 지원되는 고도의 사이버 범죄 비즈니스 모델로, 빠르고 정교하며 공격을 수행하는 주체가 직접적으로 드러나지 않아 은밀하게 사이버 공격을 할 수 있습니다.

마이크로소프트사에 따르면 문스톤 슬릿이 사용한 서비스형 킬린 랜섬웨어는 러시아를 기반으로 2022년 5월부터 활동을 시작했습니다.

킬린 랜섬웨어는 2023년 말부터 공격이 급증했고 일종의 몸값인 랜섬으로 2만 5천 달러에서 수백만 달러까지 요구하는 것으로 알려졌습니다.

마이크로소프트사는 다만 북한의 해킹 조직 문스톤 슬릿이 킬린 랜섬웨어를 사용한 구체적인 사례나 횟수는 설명하지 않았습니다.

마이크로소프트사는 북한 정권의 지원을 받는 문스톤 슬릿은 과거 ‘스톰-1789로’ 알려졌지만, 이후 자체 전술과 공격 인프라 등을 구축하며 독자적인 활동을 펼쳐왔다고 지적했습니다.

[마이크로소프트사] “Moonstone Sleet is known for combining many techniques successfully used by other North Korean threat actors as well as unique attack methodologies to target organizations for their financial and cyberespionage objectives”

그러면서 북한의 다른 해킹 조직들이 성공적으로 사용한 여러 수법을 독특한 공격 방법론과 결합해 조직들을 타깃으로 금전적 목적과 사이버 스파이 화동을 수행하는 것으로 알려졌다고 덧붙였습니다.

앞서 마이크로소프트사는 지난해 보고서를 통해 문스톤 슬릿이라는 새로운 북한 해킹조직이 포착됐다고 밝힌 바 있습니다.

그러면서 이들은 금전적 이익을 얻기 위한 목적으로 ‘페이크 페니’(Fake Penny)라는 랜섬웨어를 개발했으며 수법은 전보다 더 치밀해졌다고 분석했습니다.

“랜섬웨어 자금, 북한 정권에 들어갈 가능성 높아”

북한은 사이버 범죄를 통해 얻은 수익으로 무기 확산 등 불법 활동을 지원하고 있습니다.

마이클 반하트 맨디언트 수석분석가는 최근 VOA에 북한 해커들이 공격해 확보한 랜섬웨어 자금은 다른 여러 방식으로 북한 정권에 들어갈 가능성이 높다”고 말했습니다.

[녹취: 반하트 수석분석가] “They were looking to attack different sectors to use that ransomware funding to then supplement it to actually go after their cyber espionage targets… the extra money, you know, as you're getting, it will most likely go back to the regime in many other ways. It was just a means to actually fund their actual missile research or their nuclear endeavors which is very, very interesting how they've propped that up.”

그러면서 북한의 랜섬웨어 공격은 그 자체로 목표가 아니라 미사일과 핵 개발을 위한 수단이었다는 점에서 매우 흥미롭다고 덧붙였습니다.

앞서 존 랫클리프 미국 중앙정보국(CIA) 국장도 지난 1월 당시 상원 정보위원회 인준 청문회에 제출한 서면 답변에서 “북한은 군사 및 전략 핵무기 프로그램을 발전시켜 왔고, 부분적으로는 랜섬웨어 공격을 지원함으로써 군사적 노력에 자금을 조달하고 있다”며 비난한 바 있습니다.

VOA 뉴스 안소영입니다.