북한과 연계된 해킹 집단인 '스톤플라이'(stonefly)가 지난 2월 군사 관련 기업을 공격하는 등 해킹 행위를 계속하고 있다는 분석이 나왔다. 미국의 사이버 보안업체 시만텍은 27일(현지시간) 이런 분석 결과를 웹사이트에 게재했다.
스톤플라이는 지난 2월 에너지와 군사 부문에 관련된 한 엔지니어링 회사에 사이버 공격을 가했다.
자유롭게 접근 가능한 한 서버를 통해 시스템에 침투한 뒤 18대의 컴퓨터를 손상시켰다. 그런 다음 자료를 몰래 훔칠 수 있는 백도어(무단사용을 위한 비인증 접근) 악성 소프트웨어를 설치했다.
다만 시만텍은 구체적으로 어떤 기업이 해킹 공격을 받았는지, 실제로 정보를 도난당했는지는 분명히 밝히지 않았다.
스톤플라이는 다크서울, 블랙마인, 트로이작전, 조용한 천리마로도 불리는 북한 연계 해킹 집단이다. 2009년 7월 한국과 미국의 정부, 금융기관 웹사이트에 대한 디도스 공격을 감행한 주체로 이름이 처음 알려졌다.
2011년에는 스톤플라이의 작전에 디도스(DDoS·분산서비스거부) 공격 외에 자료를 빼내 가는 스파이 활동 요소가 포함돼 있다는 사실이 드러나기도 했다.
시만텍은 "스톤플라이의 역량이 최근 몇 년간 두드러지게 향상됐다"며 "적어도 2019년 이후 스톤플라이의 초점이 스파이 작전으로 변경돼 기밀이나 매우 민감한 정보, 지적 자산을 가진 조직들을 겨냥하는 데 특화한 것처럼 보인다"고 말했다. 또 스톤플라이가 관심을 가진 사실상 모든 기술은 군사용과 민간용 모두 사용될 수 있고, 일부는 첨단 무기 개발에 적용될 수 있다고 밝혔다.
시만텍은 북한과 연계된 또 다른 해킹 집단 '라자루스' 내의 '폼필루스' 역시 정보 탈취를 위한 해킹 활동을 벌이는 조직으로 적시했다.
북한 정찰총국과 연계된 것으로 알려진 라자루스는 암호화폐 해킹을 통해 불법적 외화 획득에 나선 집단으로도 널리 알려져 있다.