홀리고스트 랜섬웨어, 세계 각국의 중소기업 공격해 암호화폐 벌어들여

북한 정부지원 해커조직에서 유포, 과거 행적과 향후 활동에 대한 심층 모니터링 필요

[보안뉴스 권 준 기자] 최근 북한 해커들로 추정되는 ‘홀리고스트(HolyGhost)’ 랜섬웨어 조직이 중소기업들을 타깃으로 랜섬웨어를 유포하는 등의 다크웹에서의 활동 사례가 포착된 것으로 드러났다.

​

▲북한 정부지원 해커조직으로 추정되는 홀리코스트 랜섬웨어 조직의 랜섬노트[자료=MS]

마이크로소프트(MS)와 S2W와 NSHC 등 국내 다크웹 인텔리전스 보안기업들의 분석에 따르면 ‘홀리고스트(HolyGhost)’ 랜섬웨어는 지난 2013년 3.20 사이버테러를 감행했던 인민무력부 소속 북한 해커조직인 일명 ‘다크서울(DarkSeoul)’ 또는 ‘안다리엘(Andariel)’에서 유포한 랜섬웨어로, 지난 2년 간 세계 각국의 소규모 비즈니스 업체들을 공격해 암호화폐를 벌어들인 것으로 조사됐다.

이들을 추적해온 MS는 홀리코스트 랜섬웨어 조직이 활동 기간도 불규칙적이었고, 암호화폐를 빼앗으려는 의지도 그리 커 보이지 않았으며, 협상의 태도도 일정치 못했다는 이유로 이들이 북한 정부의 지시 없이 개별적으로 벌인 일일 가능성을 제기하고 있다. 더욱이 이들은 “우리는 부자들에게 돈을 빼앗아 가난한 자들에게 나눠주는 빈부의 격차를 줄이기 위한 목적으로 활동한다”고 주장한 것으로 알려졌다.

‘홀리고스트(HolyGhost)’ 랜섬웨어는 MS의 발표에 앞서 본지가 운영하는 유튜브 채널인 bntv의 [곽경주의 다크웹 인사이드] 라이브 방송에서 주목할 만한 랜섬웨어 조직으로도 언급된 바 있다. 당시 방송에서 S2W 곽경주 이사는 홀리코스트 랜섬웨어에 대해 “2021년 후반기부터 다크웹 상에서 처음 발견됐는데, 자기네들은 8년 동안 활동했지만 한 번도 잡힌 적이 없었다고 언급했다”며, “국가급 배후의 공격그룹과 연관이 있다는 첩보가 있어 관심을 갖고 모니터링하고 있다”고 밝혔다.

이와 관련 곽 이사는 “안다리엘은 원래 한국만을 대상으로 공격하던 그룹”이라며, “이들은 온라인맞고 해킹 프로그램 같은 것도 만들면서 생계형 해커로 활동하는 모습도 보여줬지만 전반적으로는 한국인을 대상으로 APT 공격을 수행하는 그룹이었기 때문에 이들이 랜섬웨어를 사용한다는 건 매우 흥미로운 지점”이라고 강조했다.

​

▲홀리코스트 랜섬웨어 조직의 활동현황 분석자료[자료=NSHC]

또한, NSHC 최상명 수석연구원은 “홀리코스트 랜섬웨어 조직이 랜섬웨어 몸값 지불 및 유출 협박을 위해 사용한 다크웹 사이트가 있는데, 조사 결과 다크웹의 한 블랙마켓 ‘AGORA ROAD’의 커스텀 제작 랜섬웨어 페이지를 활용해서 다크웹 사이트를 제작한 것으로 추정되는 결과가 나왔다”며, “이들이 해당 블랙마켓도 운영을 했던 건지 아니면 해당 블랙마켓의 커스텀 랜섬웨어 제작 툴을 구매해서 활용한 것인지 등은 명확하진 않지만 둘의 관련성이 있다는 것은 NSHC의 다크웹 인텔리전스 플랫폼을 통해 확인됐다”고 설명했다.

이어 “이들이 랜섬웨어 제작에 앞서 다크웹에서 ‘랜섬웨어 제작’이라는 이름의 콘텐츠를 확인했다는 것을 알 수 있었고, 랜섬웨어 제작을 위해 구글에서 발표한 GO 프로그래밍 언어를 이용했다는 것도 확인할 수 있었다”고 덧붙였다.

이렇듯 주로 한국인을 타깃으로 APT 공격을 해왔던 북한 해커조직이 랜섬웨어를 제작해 유포했다는 점에서 이들의 향후 움직임에 대한 심층적인 모니터링이 필요하다는 지적이다. MS의 분석처럼 이들의 개별적인 일탈 행위일 가능성이 제기되지만, 또 다른 대규모 공격이나 새로운 형태의 공격을 위한 테스트 성격의 활동일 경우 우리나라에 미칠 후폭풍도 커질 수 있기 때문이다.

[권 준 기자(editor@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108405&page=1&mkind=1&kind=1)]