“북한 해킹그룹 ‘라자루스’의 공격은 멈추지 않았다”

“전세계를 무대로 활동하는 북한 해킹그룹 ‘라자루스’의 공격은 지금도 계속되고 있다.”

카스퍼스키랩의 글로벌 연구분석팀(GReAT) 소속으로 북미지역에 기반을 두고 있는 제이 로젠버그(Jay Rosenberg) 선임보안연구원은 23일 기자들과 만나 이같이 말하고 “북한의 사이버 역량은 더욱 향상되고 있다. 진화된 공격 테크닉을 사용해 미래에도 계속 공격을 벌일 것”이라고 전망했다.

로젠버그 선임연구원은 또 “북한뿐 아니라 중국, 러시아 등 국가 후원을 받는 해킹그룹도 꾸준히 활동하고 있다”면서 “지정학적 위치와 정치적 이슈를 이용한 사회공학적 수법을 이용한 공격은 계속 나타나고 있다”고 밝혔다.

‘라자루스(Lazarus)’는 전세계를 대상으로 첩보와 파괴, 금전을 노린 다양한 사이버공격을 벌여온 북한 연계 해킹그룹으로 알려져 있다. 전형적인 국가 지원 공격은 정보 수집을 위한 ‘사이버첩보(Cyber Espionage)’, 사회 혼란을 노린 ‘파괴(Disruption)’를 목적으로 한다. 하지만 ‘라자루스’는 첩보와 파괴, 그리고 사이버범죄 유형인 금전을 노린 공격까지 모두 벌이는 특징이 있다.

지능적인 수법으로 2013년 3.20 사이버테러와 2014년 한국수력원자력 공격(김수키(Kimsuky))부터 소니픽처스 엔터테인먼트, 방글라데시 중앙은행, 워너크라이 공격, 암호화폐 거래소 빗썸 공격 등 국내와 해외에서 발생한 대형 사이버공격을 벌인 것으로 지목돼온 그룹이다.

카스퍼스키랩은 ‘라자루스’가 최소 2009년부터 활동해온 것으로 분석하고 있다.

남·북, 북·미 정상회담이 잇달아 진행되면서 해빙기에 들어서던 지난해는 물론, 베트남 하노이 회담 이후 다시 간격이 벌어진 채 획기적인 관계 개선 돌파구가 마련되지 않고 있는 지금의 상황과 시점에 관계없이, 북한 해킹그룹의 활동은 계속 이뤄져 왔다는 것이 카스퍼스키랩 GReAT팀의 분석이다.

로젠버그 선임보안연구원은 “관계가 좋아지면 공격이 멈출 것인가? 그렇지 않다. 해킹그룹의 활동은 ‘필연적(inevitable)’”이라고 표현했다.

‘라자루스’의 국내 공격 활동을 추적하는 GReAT팀 소속 박성수 한국카스퍼스키랩 책임연구원은 “최근 국내에서도 금융권을 대상으로 여러 건의 공격이 포착됐다”라면서 “주로 보안수준이 낮은 금융사들을 타깃으로 공격을 벌이고 있다. 공격이 탐지되면 고객사에 알려주고 추가 분석해 방어하는 조치를 수행한다”고 말했다.

최근 해외 암호화폐 거래소를 공격한 사건도 있었다. 박 책임연구원은 “비트코인 가격이 떨어지긴 했지만 아직도 여러 형태로 금전을 노린 공격이 이뤄지고 있다”고 덧붙였다.

로젠버그 선임보안연구원은 ‘라자루스’ 악성코드의 특징을 일부 소개하기도 했다. 그는 “해킹그룹이 사용하는 악성코드의 근원과 소스코드 특징과 유사성 등을 분석하며 공격그룹을 나누고 있다”라면서 “‘라자루스’ 악성코드는 2004~2005년에 공개된 중국 기반 오픈소스 악성코드 소스를 재사용하지만 독특한 코드가 나타난다. 다양한 공격에 사용한 여러 악성코드별로 명령제어(C&C) 서버와 통신하는 방식 간에 유사성도 발견됐다. 심지어 개발자가 만든 오류와 실수까지 그대로 반영된 경우도 있다”고 했다.

이어 “과거에 발생한 공격 활동과 테크닉, 공격 대상 등을 기반으로 공격그룹의 특징을 추출해 그룹별로 위협 모델링을 수행한다. 이전 공격을 보면 앞으로 발생할 수 있는 공격이나 대상을 예측할 수 있기 때문”이라며 “같은 악성코드 소스를 2009년부터 2013년까지 사용하기도 하고 심지어 2017년 워너크라이에서도 유사성이 나타나며 악성코드를 재사용한다는 점을 눈여겨 봐야한다. 반면에 공격그룹들은 새롭게 공개된 코드나 기술을 매우 빠르게 적용하고 있어 방어자들도 빠르게 대응책을 마련해야 한다”고 강조했다.

올해 해외에서 발생한 대규모 국가 지원 해킹그룹의 공격 사례 가운데 하나는 글로벌 5대 PC 제조사인 에이수스(ASUS)를 공격해 수많은 PC를 감염시킨 ‘오퍼레이션 섀도우해머(Operation ShadowHammer)’다. 이는 대표적인 공급망 공격 사례다.

지난 3월에 소프트웨어 업데이트 서버가 해킹돼 수많은 에이수스의 이용자들이 악성코드가 심어진 라이브 업데이트 설치 버전을 PC에 다운로드해 설치됐다는 사실이 알려졌다. 이 설치파일에는 에이수스가 만들고 조작되지 않았다는 것을 검증해주는 유효한 디지털서명이 붙어있었다. 카스퍼스키랩 백신으로 확인된 감염 PC만 5만7000대 이상이지만 최대 100만대 넘는 PC가 공격에 노출된 것으로 추정된 상태다.

‘섀도우해머’ 공격에서는 2017년 ‘씨클리너(CCleaner)’ 공격, 넷사랑/섀도우패드(Netsarang/ShadowPad) 소프트웨어 변조 공격 등과의 유사성도 발견됐지만 공격 주체와 배후는 특정되지 않았다. 북한보다는 중국 관련 특징이 공격 도구에서 나타난 것으로 분석되고 있지만 매우 은밀하게 자신들을 숨긴 채 공격하고 있어 아직까지 실체가 제대로 드러나지 않은 상태다.

한편, 로젠버그 선임보안연구원은 23일 경찰청이 개최한 ‘2019 국제사이버범죄대응 심포지엄(ISCR 2019)’에서 ‘북한의 사이버첩보, 파괴, 금전을 노린 범죄’를 주제로 발표한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network