북한 라자루스 해킹그룹, 웹3 및 가상화폐 개발자 노린 정교한 사이버 공격 캠페인 ‘오퍼레이션 99’ 개시

북한 정부와 연계된 해커조직 라자루스(Lazarus)가 Web3와 가상화폐 개발자를 대상으로 한 새로운 사이버 공격 캠페인 ‘오퍼레이션 99(Operation 99)’를 개시했다. 이번 공격은 채용을 미끼로 피해자를 속이고 악성코드를 배포하는 정교한 방식으로 진행됐다.

사이버보안 기업 시큐리티스코어카드(SecurityScorecard)에 따르면, 라자루스는 링크드인(LinkedIn)과 같은 전문 네트워크 플랫폼에서 가짜 채용 담당자로 위장해 피해자에게 접근했다. 채용 제안을 가장해 개발자에게 테스트 프로젝트와 코드 리뷰를 제공하며 신뢰를 얻은 뒤, 깃랩(GitLab) 저장소를 클론(clone)하도록 유도했다.

겉보기에는 정상적인 저장소처럼 보이지만, 실상은 악성코드로 가득 차 있었다. 사용자가 저장소의 코드를 실행하면 이를 통해 명령제어(C2) 서버와 연결되며, 악성코드가 시스템에 침투하게 된다.

회사 관계자는 “이 같은 방식은 피해자의 신뢰와 호기심을 악용해 치밀하게 설계된 것”이라며 “코드 실행 후 개발자의 환경에 악성코드를 심어 민감 정보를 탈취한다”고 설명했다.

이번 캠페인의 피해자는 전 세계 여러 국가에 걸쳐 있으며, 특히 이탈리아에서 많은 사례가 보고됐다. 그 외 아르헨티나, 브라질, 이집트, 프랑스, 독일, 인도, 인도네시아, 멕시코, 파키스탄, 필리핀, 영국, 미국에서도 피해가 확인됐다. 한국도 주의해야 한다. 

이번 공격에 사용된 악성코드는 윈도우(Windows), 맥OS(macOS), 리눅스(Linux) 등 다양한 운영체제에서 작동할 수 있도록 설계된 모듈형 구조를 가지고 있다. 주요 악성코드는 다음과 같다.

-Main5346/Main99: 추가 악성코드를 다운로드하는 역할을 한다.

-Payload99/73: 시스템 데이터를 수집하고, 웹 브라우저 프로세스를 종료하며, 임의의 명령을 실행하고, C2 서버와의 지속적인 연결을 유지한다.

-Brow99/73: 웹 브라우저에서 데이터를 추출해 자격증명을 탈취한다.

-MCLIP: 키보드와 클립보드의 활동을 실시간으로 감시하고 유출한다.

시큐리티스코어카드는 “이번 공격은 개발자의 계정을 손상시켜 지적재산권뿐만 아니라 암호화폐 지갑까지 탈취하며 직접적인 금전적 손실을 초래한다”고 밝혔다.

라자루스는 과거부터 가상화폐 탈취를 주요 자금 조달 수단으로 활용해 왔다. 2024년 한 해 동안에만 약 6억 5천만 달러(한화 약 8조 3천억 원)에 달하는 암호화폐를 탈취한 것으로 알려졌다.

이어 “북한은 해킹을 주요 수익 창출 수단으로 삼고 있으며, 라자루스는 암호화폐 산업의 급성장을 겨냥해 막대한 자금을 탈취하고 있다”고 분석했다.

Web3와 가상화폐 산업 개발자들은 채용 제안을 받을 때 더욱 신중해야 한다. 비정상적인 코드 저장소의 클론이나 실행을 지양하고, 저장소의 정당성을 철저히 검증해야 한다.