북한이 미국 내에 위장 기업을 설립해 가상화폐 개발자들을 노린 정교한 사이버 공격을 감행한 정황이 포착됐다. 이는 외화 확보를 위한 북한의 해킹 전략이 더욱 교묘해지고 있음을 보여준다.

미국 사이버 보안 회사 사일런트 푸시는 24일(현지시간), 북한 해킹조직이 뉴욕주와 뉴멕시코주에 각각 '소프트글라이드(SoftGlide)'와 '블록노바스(Blocknovas)'라는 가짜 기업을 설립한 사실을 밝혀냈다고 로이터 통신을 통해 전했다.

이들 기업은 서류상 미국 현지 기업으로 등록돼 있었지만, 사용된 이름과 주소는 모두 허위였으며, 특히 블록노바스의 주소는 공터로 확인됐다. 소프트글라이드는 실제 설립자가 아닌 현지 세무사무소를 통한 등록으로 추정된다.

사일런트 푸시 측은 이 기업들이 북한의 대표적 사이버 공격 조직인 '라자루스(Lazarus)' 그룹과 연관된 해커들이 운영하고 있다고 분석했다.

해당 해커들은 가짜 채용 공고를 내거나 온라인 면접을 진행하는 방식으로 개발자에게 접근한 뒤, 악성코드를 설치해 가상화폐 지갑을 해킹하거나 인증 정보를 탈취해온 것으로 전해졌다.

사일런트 푸시의 위협 인텔리전스 책임자 케이시 베스트는 “해커들은 철저히 조작된 신원을 이용해 취업 면접을 가장했고, 이 과정에서 악성코드를 심어 정보 탈취를 시도했다”며 “블록노바스를 통한 피해 사례가 특히 많이 보고되고 있다”고 밝혔다.

미국 연방수사국(FBI)도 이 사건과 관련해 조치를 취했다. FBI는 블록노바스의 웹사이트에 공지문을 게재하며 “해당 도메인이 북한 해커들의 악성코드 유포에 사용됐고, 이로 인해 압수 조치가 이루어졌다”고 밝혔다.

또 다른 FBI 관계자는 “북한의 사이버 활동은 미국이 직면한 가장 지속적이고 고도화된 위협 중 하나”라며, 북한 해커뿐 아니라 이들의 활동을 지원하거나 묵인하는 모든 이들에게 제재를 가하겠다고 강조했다.

북한은 해킹 외에도 수천 명의 IT 인력을 외국에 파견해 핵·미사일 개발 자금 확보에 나서고 있으며, 가상화폐 산업은 이들의 주요 표적이 되고 있다.

이번 사건은 북한의 사이버 공세가 단순한 해킹을 넘어 실제 기업 설립과 인력 채용으로까지 확대되고 있음을 보여주는 사례로 평가된다.