북한, 언론사 사이트 해킹했나…금융인증 프로그램 취약점 악용

게티이미지뱅크

북한 해킹조직이 금융보안인증 소프트웨어 취약점을 악용해 언론사 사이트 등을 해킹한 정황이 드러났다.

경찰청 국가수사본부 안보수사국은 북한의 해킹조직인 ‘라자루스’가 언론사 8곳을 포함한 국내 61개 기관의 컴퓨터 207대를 해킹한 것으로 보인다는 수사 결과를 18일 발표했다.

경찰 수사 결과, 해킹조직은 금융보안인증 업체를 먼저 해킹한 뒤 해당 업체의 금융보안인증 소프트웨어가 설치된 컴퓨터를 노렸다. 해당 컴퓨터가 특정 언론사나 공공기관 사이트에 접속할 경우 자동으로 악성코드를 설치하도록 했다. 북한은 2021년 4월 해당 업체를 해킹한 뒤 소프트웨어 취약점을 찾아내고 공격에 활용할 인프라를 마련하는 데에만 1년 이상을 쓰며 치밀하게 범행을 준비했다고 경찰은 밝혔다. 경찰은 지난해 10월 피해 사이트 중 한 곳에서 해킹 시도가 있다는 첩보를 입수해 수사에 착수했다.

경찰청 제공

경찰은 국정원·한국인터넷진흥원 등과 함께 분석한 결과, △공격 인프라 구축 방법 △워터링홀(방문 가능성이 크거나 많이 사용하는 사이트를 감염시킨 뒤 피해자가 해당 사이트에 접속하면 컴퓨터에 악성코드를 추가로 설치하는 공격 방식)및 소프트웨어 취약점을 악용한 공격 방식 및 악성코드의 유사성 등을 근거로, 이번 사건을 북한 해킹조직 일명 ‘라자루스’의 소행으로 결론냈다.

라자루스는 2014년 미국 소니픽처스 해킹사건과 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 북한의 해킹조직이다. 정부는 지난 2월 사이버 분야 대북 독자제재 대상으로 라자루스를 지정한 바 있다.

경찰은 추가 피해를 막기 위해 보안인증 프로그램을 최신 버전으로 업데이트해달라고 당부했다. 해킹 피해를 당한 금융보안인증 프로그램의 업데이트 비율은 지난 14일 기준 80%로 나타났다. 경찰청 안보수사국 관계자는 “북한의 해킹 수법이 날로 고도화되고 있다”며 “국내 1000만 대 이상의 컴퓨터에 설치된 금융보안인증 프로그램의 취약점을 활용해 대규모 사이버 공격을 준비했을 가능성도 배제할 수 없지만 관계기관 합동대응을 통해 이를 사전에 차단했다”고 말했다.

장나래 기자 wing@hani.co.kr