카스퍼스키랩 “군 사이버공격-ATM 해킹, 라자루스 연관”

지난 3월 발생한 금융자동화기기(ATM) 해킹이 군 대상 사이버공격과 서로 연관성이 있다는 카스퍼스키랩 조사 결과가 나왔다.

카스퍼스키랩은 10일 군과 ATM 공격에 사용된 악성코드와 기술이 북한과 연관된 ‘라자루스(Lazarus) 그룹’의 공격 방식과 유사하다는 결론을 내렸다고 밝혔다.

라자루스는 전세계 기업과 정부기관을 대상으로 여러차례 치명적인 공격을 가한 것으로 지목된 해킹조직이다.

군 당국은 지난해 8월 발생한 사이버공격을 북한 소행이라고 밝힌 바 있다. ATM 해킹은 아직까지 국내 수사기관이나 정부의 조사 결과가 발표되지 않았다.

ATM 해킹 사건은 60여대의 ATM 기기가 악성코드에 감염돼 2000여개 신용카드 정보가 도난 당해 대만에서 복제한 카드로 2500달러 가량이 불법 인출되는 피해가 발생한 경우다.

카스퍼스키랩은 ATM 해킹에 사용된 악성코드가 지난해 8월 한국 국방부 공격 코드와 동일한 것으로 조사됐다고 설명했다.

또한 이전 해킹 공격의 연관성을 검토해 라자루스 소행으로 알려진 다크서울 악성코드 공격 등과 유사하다는 점을 발견했다. 파악된 공통점으로는 동일한 암호 해독 루틴과 난독화 기술 사용, 명령제어(C&C) 인프라 중복, 코드 유사성 등이다.

라자루스는 현재 활동 중인 사이버 범죄 조직으로, 2014년 소니픽처스 해킹과 2016년 방글라데시 중앙은행에서 발생한 8100만 달러 도난 사건 등 대형 사이버공격 배후로 지목 받고 있다.

카스퍼스키랩 글로벌 위협정보 분석팀(GReAT)의 박성수 수석 보안연구원은 “군 당국 해킹과 ATM 사건 모두 소규모였고 피해도 크지 않았지만 우려스러운 동향”이라며 “한국은 2013년부터 사이버스파이 공격의 표적이 되고 있는데, 순전히 금전적 목적으로 ATM을 노린 것은 이번이 처음”이라고 지적했다.

박 수석 연구원은 “파악한 연관성이 정확하다면, 이번 사건은 라자루스 그룹이 불법 이득을 취하는 쪽으로 화살을 돌렸다는 것을 보여주는 또 하나의 사례”라며 “은행을 비롯한 금융기관은 너무 늦기 전에 안전망을 강화해야 한다”고 강조했다.

카스퍼스키랩은 금융사들에 ATM과 인터넷뱅킹 보안 강화를 위해 사기방지 전략을 전사적으로 도입할 것과 ATM의 논리적·물리적 보안과 사기방지 조치를 함께 취할 것을 권고했다.

아울러 종합적인 다계층 보안 솔루션과 함께 스퍼스키랩의 임베디드 시스템 보안 솔루션처럼 기본 거부(Default Devny), 파일 무결성 모니터링 기능이 포함된 특화 솔루션을 사용해야 한다고 권장했다.

이밖에도 보안 감사와 침투 테스트 실시, 위협 인텔리전스 투자 등으로 빠르게 변화하는 신종 보안위협 동향을 인지해 효율적으로 대비에 나서야 한다고 지적했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network