북한의 비글보이즈, 30개국 넘는 곳에서 금융 조직 공격 중

노골적으로 돈을 노리는 단체...각종 지불 환경 및 시스템 노릴 수 있어
미국 정부 기관들이 합동으로 경고문 발표...사이버사령부는 멀웨어 분석 보고서도 공유

[보안뉴스 문가용 기자] 비글보이즈(BeagleBoyz)라는 이름으로 불리는 북한의 해킹 단체가 악성 원격 해킹 도구를 사용해 전 세계 은행 및 금융 조직들로부터 돈을 훔쳐내고 있다는 경고가 미국 정부 기관들로부터 나왔다. 비글보이즈는 국고난에 시달리고 있는 북한 정부를 돕기 위해 마련된 조직으로 보인다고 한다.

[이미지 = utoimage]

미국 국토안보부 산하 CISA, 미국 재무부, 연방수사국, 사이버사령부가 합동으로 발표한 바에 의하면 비글보이즈는 현재 30개국이 넘는 곳에서 사이버 은행 탈취를 계속해서 진행하고 있으며 약 20억 달러의 돈을 훔치려 하고 있다고 한다. 2020년 2월부터 북한이 은행을 겨냥한 사이버 공격을 재개했다는 것이 이번 발표의 골자다.

비글보이즈는 최근 들어 ATM 기기를 주로 공략하고 있다고 한다. 이미 수십 개 국에서 ATM 공격의 피해 은행들이 속출하고 있다. 또한 은행들 간 국제 통신 네트워크인 스위프트(SWIFT)를 통한 사기 인출도 하고 있을 것으로 보인다. 2016년 방글라데시 중앙은행이 사이버 공격을 통해 8100만 달러를 잃은 것도 바로 이 스위프트 공략 때문이었다.

북한의 비글보이즈는 2018년 10월 발생했던 패스트캐시(FASTCash)라는 공격을 저지른 세력들로 지목되고 있다. 당시 패스트캐시 공격자들은 ATM 기기를 통하여 현금을 마구 인출했었다. 그 외에도 2016년부터 은행들의 도소매 지불 시스템 기반 구조를 공격하기도 했었다. 도소매 지불 시스템 기반 구조란, ISO 8583 메시지들을 처리하는 스위치 애플리케이션 서버들을 의미한다.

비글보이즈는 북한 정찰총국 소속이며, 최소 2014년부터 활동해 온 것으로 보인다. APT38, 블루노로프, 라자루스, 스타더스트 천리마 등 북한과 관련이 있다고 보이는 다른 해킹 단체들과 겹치는 활동을 많이 하기도 한다. 위에 언급한 방글라데시 중앙은행 탈취 사건은 라자루스의 행위로 보는 게 일반적이다. 하지만 스위프트를 공격하는 건 라자루스만의 고유한 전략이라고 보기 힘들다.

비글보이즈는 노골적으로 금전적인 목적을 가지고 공격을 하는 단체다. 은행만이 아니라 각종 지불 시스템과 생태계를 연구하고 공격한다. CISA는 이번 경고문을 통해 “비글보이즈는 다양한 도구와 기술을 사용해 금융 네트워크를 공략하며, 충분한 정찰 및 학습 활동을 통해 주요 시스템의 위치를 정확히 파악할 줄 아는 그룹”이라고 설명했다.

북한의 해커들은 스피어피싱과 워터링홀 전략을 자주 사용하다가 2018년부터 현재까지는 이력서를 통한 소셜 엔지니어링 공격을 주로 하고 있다. 또한 최근 들어 다른 해킹 단체들과 전략적 협력 관계를 맺는 모습도 드러나고 있다. 예를 들어 TA505와 함께 손을 잡아, TA505는 최초 침투를, 북한 해킹 단체는 침투 후 공략을 나눠서 담당하기도 한다.

돈을 노리는 해킹 그룹이기 때문에 비글보이즈는 암호화폐 거래소를 노린다는 것도 이번 경고문에 포함된 내용이다. “암호화폐는 거래자의 신원이 노출되지 않는다는 장점이 있어 범죄자들에게 인기가 높습니다. 북한의 해커들도 이 점 때문에 암호화폐를 끊임없이 노리며 국고를 늘려가고 있습니다. 한 번에 수백만 달러 이상의 피해를 입히기도 합니다.”

이런 합동 경고문 외에 미국 사이버사령부는 북한이 ATM 현금 인출 공격을 위해 사용하는 멀웨어 3개의 상세 분석 보고서를 발표하기도 했다. 이 멀웨어는 에센트릭밴드웨곤(ECCENTRICBANDWAGON), 비바셔스기프트(VIVACIOUSGIFT), 패스트캐시다. 각각의 내용은 여기서 열람이 가능하다.

1) 에센트릭밴드웨곤 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239a
2) 비바셔스기프트 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239b
3) 패스트캐시 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239c

3줄 요약
1. 북한의 해킹 그룹 비글보이즈, 30개국 넘는 곳에서 금융 조직 공격 중.
2. 특히 ATM 통해 현금 빼내는 수법 자주 사용. 스위프트 시스템 노리기도 함.
3. 미국 사이버사령부는 이들이 주로 사용하는 멀웨어 상세 분석 내용을 공유.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)