지난해 은행 보안프로그램 해킹도 북한 해커조직 '라자루스' 소행

공공기관 60여 곳 PC 200여 대 공격
특정 사이트 접속 시 악성코드 심어 
경찰 "北 라자루스 수법 동일" 결론

북한 해커 조직 '라자루스'가 지난해 11월 벌인 '금융보안인증 소프트웨어 해킹' 사건 개요. 당시 국내외 주요 기관 61 곳의 컴퓨터 207대가 해킹됐다. 경찰청 국가수사본부 제공

지난해 금융보안인증 소프트웨어 ‘이니세이프’ 해킹 사건이 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스(Lazarus)’ 소행으로 확인됐다고 경찰청 국가수사본부가 18일 밝혔다. 라자루스는 2014년 미국 소니픽쳐스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 ‘워너크라이’ 유포 사건 등의 배후로 의심 받고 있다. 정부의 대북 독자제재 대상에도 포함돼 있다.

앞서 보안당국은 지난해 11월 북한이 은행과 공공기관에 접속할 때 필수적으로 설치해야 하는 금융보안인증 소프트웨어의 취약점을 악용해 공공기관, 방위산업체 등 국내외 주요 기관 61곳의 컴퓨터 207대를 해킹하고 악성코드를 퍼뜨린 사실을 확인했다. 경찰은 곧 국가정보원, 한국인터넷진흥원(KISA) 등과 함께 해킹 조직의 실체를 파악하기 위해 수사에 착수했다.

수사 결과, 북한은 2021년 4월 국내 유명 금융보안인증 업체를 해킹해 소프트웨어 취약점을 찾아냈다. 이후 공격용 웹 서버, 명령ㆍ제어 경유지 등 공격 인프라를 장기간 치밀하게 준비했다. 해킹 기법은 ‘워터링홀(watering holeㆍ물 웅덩이)’로 밝혀졌다. 금융보안인증 소프트웨어가 설치된 컴퓨터가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드를 심는 방식이다. 경찰은 △공격 인프라 구축 방식 △워터링홀 수법 △악성코드 유사성 등을 토대로 이번 사건을 라자루스의 소행으로 결론 내렸다.

경찰 관계자는 “북한 해킹 수법이 날로 고도화하고 있어 보안인증 프로그램을 최신 버전으로 업데이트해야 피해를 최소화할 수 있다”며 “유사 해킹 시도 수사도 계속 진행할 계획”이라고 말했다.

박준석 기자 pjs@hankookilbo.com