Home > 전체기사
북한의 비글보이즈, 30개국 넘는 곳에서 금융 조직 공격 중
  |  입력 : 2020-08-27 12:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
노골적으로 돈을 노리는 단체...각종 지불 환경 및 시스템 노릴 수 있어
미국 정부 기관들이 합동으로 경고문 발표...사이버사령부는 멀웨어 분석 보고서도 공유


[보안뉴스 문가용 기자] 비글보이즈(BeagleBoyz)라는 이름으로 불리는 북한의 해킹 단체가 악성 원격 해킹 도구를 사용해 전 세계 은행 및 금융 조직들로부터 돈을 훔쳐내고 있다는 경고가 미국 정부 기관들로부터 나왔다. 비글보이즈는 국고난에 시달리고 있는 북한 정부를 돕기 위해 마련된 조직으로 보인다고 한다.

[이미지 = utoimage]


미국 국토안보부 산하 CISA, 미국 재무부, 연방수사국, 사이버사령부가 합동으로 발표한 바에 의하면 비글보이즈는 현재 30개국이 넘는 곳에서 사이버 은행 탈취를 계속해서 진행하고 있으며 약 20억 달러의 돈을 훔치려 하고 있다고 한다. 2020년 2월부터 북한이 은행을 겨냥한 사이버 공격을 재개했다는 것이 이번 발표의 골자다.

비글보이즈는 최근 들어 ATM 기기를 주로 공략하고 있다고 한다. 이미 수십 개 국에서 ATM 공격의 피해 은행들이 속출하고 있다. 또한 은행들 간 국제 통신 네트워크인 스위프트(SWIFT)를 통한 사기 인출도 하고 있을 것으로 보인다. 2016년 방글라데시 중앙은행이 사이버 공격을 통해 8100만 달러를 잃은 것도 바로 이 스위프트 공략 때문이었다.

북한의 비글보이즈는 2018년 10월 발생했던 패스트캐시(FASTCash)라는 공격을 저지른 세력들로 지목되고 있다. 당시 패스트캐시 공격자들은 ATM 기기를 통하여 현금을 마구 인출했었다. 그 외에도 2016년부터 은행들의 도소매 지불 시스템 기반 구조를 공격하기도 했었다. 도소매 지불 시스템 기반 구조란, ISO 8583 메시지들을 처리하는 스위치 애플리케이션 서버들을 의미한다.

비글보이즈는 북한 정찰총국 소속이며, 최소 2014년부터 활동해 온 것으로 보인다. APT38, 블루노로프, 라자루스, 스타더스트 천리마 등 북한과 관련이 있다고 보이는 다른 해킹 단체들과 겹치는 활동을 많이 하기도 한다. 위에 언급한 방글라데시 중앙은행 탈취 사건은 라자루스의 행위로 보는 게 일반적이다. 하지만 스위프트를 공격하는 건 라자루스만의 고유한 전략이라고 보기 힘들다.

비글보이즈는 노골적으로 금전적인 목적을 가지고 공격을 하는 단체다. 은행만이 아니라 각종 지불 시스템과 생태계를 연구하고 공격한다. CISA는 이번 경고문을 통해 “비글보이즈는 다양한 도구와 기술을 사용해 금융 네트워크를 공략하며, 충분한 정찰 및 학습 활동을 통해 주요 시스템의 위치를 정확히 파악할 줄 아는 그룹”이라고 설명했다.

북한의 해커들은 스피어피싱과 워터링홀 전략을 자주 사용하다가 2018년부터 현재까지는 이력서를 통한 소셜 엔지니어링 공격을 주로 하고 있다. 또한 최근 들어 다른 해킹 단체들과 전략적 협력 관계를 맺는 모습도 드러나고 있다. 예를 들어 TA505와 함께 손을 잡아, TA505는 최초 침투를, 북한 해킹 단체는 침투 후 공략을 나눠서 담당하기도 한다.

돈을 노리는 해킹 그룹이기 때문에 비글보이즈는 암호화폐 거래소를 노린다는 것도 이번 경고문에 포함된 내용이다. “암호화폐는 거래자의 신원이 노출되지 않는다는 장점이 있어 범죄자들에게 인기가 높습니다. 북한의 해커들도 이 점 때문에 암호화폐를 끊임없이 노리며 국고를 늘려가고 있습니다. 한 번에 수백만 달러 이상의 피해를 입히기도 합니다.”

이런 합동 경고문 외에 미국 사이버사령부는 북한이 ATM 현금 인출 공격을 위해 사용하는 멀웨어 3개의 상세 분석 보고서를 발표하기도 했다. 이 멀웨어는 에센트릭밴드웨곤(ECCENTRICBANDWAGON), 비바셔스기프트(VIVACIOUSGIFT), 패스트캐시다. 각각의 내용은 여기서 열람이 가능하다.

1) 에센트릭밴드웨곤 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239a
2) 비바셔스기프트 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239b
3) 패스트캐시 : https://us-cert.cisa.gov/ncas/analysis-reports/ar20-239c

3줄 요약
1. 북한의 해킹 그룹 비글보이즈, 30개국 넘는 곳에서 금융 조직 공격 중.
2. 특히 ATM 통해 현금 빼내는 수법 자주 사용. 스위프트 시스템 노리기도 함.
3. 미국 사이버사령부는 이들이 주로 사용하는 멀웨어 상세 분석 내용을 공유.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)