지난해 PC ‘1,000만 대’ 휩쓴 북한 해킹 그룹, 올해도 위협 이어진다

160X600_GIAI_AIDSNote
한국인터넷진흥원, 북한 해킹 그룹 '라자루스' 올해 대남 공격 전망
지난해 취약점 확인된 금융 SW와 SW 공급망 중심으로 위험 가중
가상화폐 기업 해킹하며 쌓인 악명, 정부 기관까지 위험하다
북한_해킹_리자루스_20240122

북한 정찰총국 산하 해킹 그룹 ‘라자루스(Lazarus)’의 위협에 대한 산업계 불안이 가중되고 있다. 올해 라자루스가 지금껏 활용하지 않았던 ‘제3의 금융보안 소프트웨어(SW)’를 악용, 사이버 공격을 감행할 것이란 전망이 제기되면서다. 지난해 해외 기업 대상으로 이뤄졌던 라자루스의 SW 공급망 공격이 올해 국내까지 번질 것이라는 우려도 나온다. 한국인터넷진흥원(KISA)은 최근 2023년 하반기 사이버 위협 동향 보고서에서 라자루스의 사이버 공격 특징을 분석, 이같이 밝혔다.

KISA “대남 SW 제로데이 공격 위험”

라자루스는 2007년 창설된 북한의 해킹 그룹으로, 세계 각국에서 대규모 사이버 공격을 감행하고 있다. 특히 지난해에는 국내외 약 1,000만 대 이상 기관·기업·개인 개인용컴퓨터(PC)에 설치된 금융보안 SW를 악용, 대규모 제로데이 공격(개발자가 인지하지 못한 소프트웨어 취약점을 이용한 해킹 방법)을 가하며 시장 불안을 가중하기도 했다.

일반적으로 금융보안 SW는 오류 방지 및 신속한 동작을 위해 PC에서 항상 ‘실행 상태’를 유지한다. 해커가 SW의 취약점을 확보할 경우, 해당 SW가 실행돼 있는 다수의 PC를 손쉽게 해킹할 수 있다는 의미다. 라자루스는 이 같은 빈틈을 파고들기 위해 금융보안 SW 개발사를 적극적으로 공격, 소스코드를 탈취해 공격을 감행한 것으로 알려졌다. KISA는 라자루스가 올해에도 ‘금융보안 SW’를 사이버 공격 수단으로 채택할 것이라 내다봤다.

라자루스는 국내 SW에 대한 높은 이해도를 바탕으로 제로데이 익스플로잇 코드(해킹범이 제로데이 취약점을 악용하기 위해 사용하는 코드)를 자체 개발하고 있다. 이미 공격 역량을 확보한 이상, 유사한 형태의 공격을 다시 한번 감행하는 것은 시간문제라는 분석이다. 특히 KISA는 라자루스가 지난해 금융보안 SW를 활용한 제로데이 공격을 단행하며 자동 실행·취약 버전 지속성 등 공격 용이성을 확인했을 것이라 보고 있다.

라자루스가 주요 보안 SW 기업에 집요하게 침투하고 있는 만큼, 차후 SW 공급망 공격을 시도할 것이라는 전망도 제기됐다. 앞서 라자루스는 지난해 상반기 해외 기업을 대상으로 기업용 음성 비디오·통화 프로그램 ‘3CX’를 대상으로 공급망 공격을 감행한 있다. 이와 관련해 KISA는 “제로데이 취약점을 100% 방어할 순 없다”면서도 “제로데이 취약점을 최소화하기 위해 개발 환경에서 보안 취약점이 발생하지 않도록 환경 조성이 필요하다”고 짚었다.

어디든 공격한다, 라자루스의 집요한 행보

라자루스는 2014년 김정은 북한 국무위원장의 암살을 다룬 미국 영화 ‘더 인터뷰’의 제작사 소니픽처스를 해킹하며 본격적으로 이름을 알렸다. 소니픽처스가 영화 제작을 중단하라는 라자루스 측의 요구를 묵살하자 보복 해킹을 단행한 것이다. 당시 라자루스는 소니픽처스 직원들에게 악성코드를 보낸 뒤 기업 네트워크에 침투, 영화 콘텐츠를 포함한 다양한 자료와 수천 대의 컴퓨터를 훼손했다. 사건 이후 하버드비즈니스리뷰(HBR)와의 인터뷰에서 마이클 린턴 전 소니픽처스 회장은 “물건을 훔쳐 간 것이 아니라 집을 완전히 태워버렸다”며 사태의 심각성을 호소하기도 했다.

이외로도 라자루스는 각국 기업 대상으로 해킹을 단행, 외화 확보에도 나서고 있다. 대표적인 예가 암호화폐다. 지난해 초, 에스토니아 암호화폐 지갑 서비스인 ‘아토믹 월릿’은 해킹으로 인해 한화 1,000억원 이상의 손실을 떠안았다. 이후 에스토니아의 암호화폐 기업 ‘코인스페이드’ 역시 해킹 공격을 받아 3,730만 달러(약 497억원)를 도난당했다. 코인스페이드는 당시 공격의 주범으로 라자루스 그룹을 지목했다. 해킹을 통해 라자루스가 확보한 외화는 북한의 핵무기 개발 비용 등에 투입된 것으로 알려져 있다.

라자루스 외에도 김수키·안다리엘 등 위협적인 북한 소속 해킹 조직들은 꾸준히 대남 공격을 이어가고 있다. 최근 정보당국이 국회에 보고한 자료에 따르면, 북한이 2023년 상반기 한국을 상대로 시도한 사이버 공격은 하루 평균 90만∼100만 건에 육박한다. 특히 지난달에는 라자루스가 사법부 전산망을 해킹, 최대 수백 GB(기가바이트)에 달하는 재판 기록·소송서류 등 전자 정보를 탈취했다는 의혹이 제기되며 불안감이 한층 고조되기도 했다. 일반 기업을 넘어 정부 기관까지 사이버 공격에 ‘빈틈’을 내준 가운데, 업계에서는 정부 차원의 사이버 보안 강화가 절실하다는 호소가 흘러나온다.