7월 21일 북한 해커들이 미국 소프트웨어 기업 점프클라우드(JumpCloud)를 침해했다. 

보안 기업 맨디언트는 이를 UNC4899로 추적하고 있으며, 이들은 북한 정찰총국(Reconnaissance General Bureau; RGB) 산하 암호화폐를 겨냥하는 그룹으로 추정된다고 밝혔다.

맨디언트는 점프클라우드 경영진 및 내부 보안 팀으로부터 UNC4899의 표적 자격 증명 및 정찰 데이터를 확인했다. 특히, 조사 중 운영 보안(OpSec) 장애를 확인했으며, 이를 통해 범인이 사용한 인프라를 평양시 류경동으로까지 추적했다.

이번 점프클라우드 침해 사건과 관련해 구글 클라우드 맨디언트 컨설팅 CTO 찰스 카마칼은 “북한 연계 위협 행위자들은 암호화폐를 탈취하기 위해 사이버 공격 능력을 지속적으로 향상시키고 있다. 지난 한 해 간 맨디언트는 이들이 여러 차례 공급망 공격을 수행하고, 합법적인 소프트웨어를 오염시키고, 맞춤형 멀웨어를 개발하여 MacOS 시스템에 배포하는 것을 확인했다. 이들은 궁극적으로 암호화폐로 기업을 탈취하고자 하며, 이를 위해 창의적인 방법을 찾아내고 있다. 그러나 실수를 저지르기도 해 여러 침입 사건이 그들의 소행인 것을 확인할 수 있었다”고 말했다.

RGB 산하 그룹들은 서로 인프라를 공유하는 것으로 관찰됐다. 맨디언트는 북한의 사이버 환경이 공유 툴과 표적화 노력 등으로 능률화 및 조직화되어 방어자가 악의적인 활동을 추적, 귀속 및 저지하기 어렵게 만드는 한편, 더 은밀하고 빠르게 움직일 수 있게 되었다고 평가했다.

또 맨디언트는 3CX 사건을 포함, 지난 1년간 금전적 목적의, 특히 암호화폐에 집중된 작전이 늘어난 정황도 포착했다. 북한 암호화폐 부서는 암호화폐 산업 내 고부가가치 표적과 이들이 사용하는 소프트웨어 솔루션에 계속 집중할 것으로 예상된다. 또한, 북암호화폐 업계 내 고가치 개인과 내부 보안 팀을 노리는 MacOS 멀웨어 개발과 역량에도 계속 집중할 것으로 평가된다.