글로벌 사이버 보안 기업 팔로알토 네트웍스(Palo Alto Networks)는 자사 위협 조사 기관 유닛42(Unit 42)가 북한 정찰총국과 연계된 해커 조직 ‘점피 파이시스(Jumpy Pisces)’와 ‘플레이(Play) 랜섬웨어’ 그룹 간 협력 관계를 최초로 발견했다고 발표했다. 이번 발견은 랜섬웨어 생태계에 북한의 개입을 명확히 드러낸 사례로, 국제 사이버 보안 업계에 경각심을 일깨우고 있다.

■북한 해커 그룹과 랜섬웨어의 연계

유닛42는 랜섬웨어 공격 조사 결과, 북한 정찰총국과 직접 연관된 점피 파이시스가 플레이 랜섬웨어 그룹과 협력하여 금전적 범죄 활동에 관여하고 있다고 밝혔다. 점피 파이시스는 ‘안다니엘(Andariel)’ 또는 ‘오닉스슬릿(Onyx Sleet)’로도 알려져 있으며, 과거 사이버 스파이 활동과 금융 범죄, 랜섬웨어 공격에서 활발히 활동해왔다. 특히, 이 조직은 자체 제작한 랜섬웨어 ‘마우이(Maui)’를 배포한 혐의로 미국 법무부에 의해 기소된 바 있다.

조사에 따르면, 점피 파이시스는 유출된 사용자 계정을 이용해 피해 조직에 초기 접근 권한을 확보한 후, 맞춤형 악성코드 ‘디트랙(DTrack)’을 배포하여 네트워크 내부를 탐색하고 장기간 활동을 지속했다. 디트랙은 북한 해커들이 주로 사용하는 정보 수집형 악성코드로, 도난당한 데이터를 GIF 파일 형식으로 압축해 숨기는 특성이 있다.

유닛42는 점피 파이시스와 플레이 랜섬웨어 간 협력의 근거로 동일한 유출 계정 및 악성코드의 사용을 지목했다. 위협 행위자들은 피해 조직에서 인증 정보를 수집하고 권한을 상승시킨 뒤, 엔드포인트 탐지 및 대응(EDR) 센서를 제거하는 등의 작업을 통해 랜섬웨어 배포를 준비했다. 이후, 브라우저 기록, 자동 완성 데이터, 신용카드 정보 등을 탈취하기 위해 추가적인 도구를 활용한 것으로 확인됐다.

■랜섬웨어 위협, 글로벌 보안에 심각한 위협

팔로알토 네트웍스는 이번 사건을 통해 북한 위협 그룹의 광범위한 랜섬웨어 공격 가능성을 경고하며, 이는 국제 사이버 보안에 심각한 위협이 될 수 있다고 지적했다. 특히, 점피 파이시스의 활동이 단순한 스파이 활동을 넘어 금전적 이득을 목표로 하는 랜섬웨어 공격의 전조로 보인다고 분석했다.

박상규 팔로알토 네트웍스 코리아 대표는 “국내에서도 랜섬웨어 공격으로 인한 피해가 증가하고 있으며, AI를 활용한 정교하고 복잡한 공격이 늘어나고 있다”라며 “팔로알토 네트웍스는 국내 기업의 든든한 보안 파트너로서 더욱 강화된 대응책을 제공할 것”이라고 밝혔다.

팔로알토 네트웍스는 확장형 탐지 및 대응 플랫폼인 ‘코어텍스 XDR(Cortex XDR)’, 악성코드 탐지 서비스 ‘어드밴스드 와일드파이어(Advanced WildFire)’, 고급 위협 방지 솔루션 ‘어드밴스드 위협 방지(Advanced Threat Prevention)’, URL 필터링 서비스 등을 통해 고객들을 보호하고 있다. 또한, 고객들은 위협 발생 시 유닛42 인시던트 대응팀에 지원을 요청할 수 있다.

사이버 보안 전문가들은 이번 사건이 북한 해커들의 금전적 목적 활동이 본격화되고 있음을 보여준다며, 랜섬웨어 공격에 대한 대응책 마련이 시급하다고 강조했다. 특히, 국제적으로 협력하여 랜섬웨어 생태계의 확산을 억제해야 한다는 의견도 제기되고 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★