‘北 라자루스’, 국내기관 60여곳 해킹…“대규모 사이버 공격 준비한 듯”

특정인 타겟 해킹하는 ‘워터링홀’ 수법 접목
언론사 사이트 접속 시 자동으로 악성코드 설치
”정보탈취 목적보단 대규모 사이버 공격 준비한 듯”

일러스트=손민균

작년 11월 인터넷 뱅킹에 사용되는 금융보안인증 소프트웨어 보안 취약점을 악용해 국내기관 컴퓨터를 해킹한 것은 북한 정찰총국이 배후로 있는 해킹조직 ‘라자루스’로 드러났다. 경찰은 금융보안인증 프로그램을 설치한 컴퓨터가 1000만대가 넘는 만큼 북한이 금전이나 정보탈취 목적보다는 디도스 등 대규모 사이버 공격을 준비했을 가능성에 무게를 두고 있다.

경찰청 국가수사본부는 “금융보안인증 소프트웨어 취약점 악용 공격은 라자루스 해킹조직의 소행인 것으로 확인했다”고 18일 밝혔다. 라자루스는 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 사건 등을 주도한 것으로 알려진 해킹조직으로 사이버 분야 대북 독자제재 대상이다.

경찰 조사 결과 라자루스는 2021년부터 해킹을 준비해온 것으로 나타났다. 북한은 2021년 4월 7일 국내 소프트웨어 업체를 해킹한 뒤 인터넷 뱅킹을 사용하려면 필수적으로 설치해야 하는 보안인증 프로그램의 취약점을 찾아냈다.

이후 라자루스는 언론사 8곳, 의료·바이오기관 4곳, 공공기관 3곳, 방위산업체 3곳, 민간기관 43곳 등 총 61곳 사이트와 소프트웨어 명령·제어 서버를 추가 해킹했다. 보안인증 프로그램이 설치된 컴퓨터가 이곳 사이트에 접속할 경우 100분의1초만에 자동으로 명령·제어 서버로 연결시켜 악성코드를 심은 것이다.

이러한 해킹 방식은 ‘워터링홀’ 수법으로 알려져 있다. 워터링홀이란 방문 가능성이 높은 사이트를 우선 감염시켜 함정을 파놓은 뒤 접속한 컴퓨터에 악성코드를 설치하는 방식이다.

당초 워터링홀은 특정 인물을 대상으로 한 해킹 수법으로 알려져 있다. 국가 고위 관계자 등이 접속할 것으로 예상되는 사이트를 선제적으로 감염시키고, 당사자가 해당 사이트에 접속하면 자동으로 악성코드를 설치한 뒤 임의조작을 통해 정보를 탈취하는 것이다.

북한 ‘라자루스’ 해킹 방식./경찰청 국가수사본부

그러나 경찰은 이번 해킹 사건의 경우 국민 대다수가 컴퓨터에 설치한 금융보안인증 프로그램의 취약점을 악용한 것으로 단순한 금전이나 정보탈취 목적보다는 향후 대규모 사이버 공격을 염두에 둔 것이라 의심하고 있다. 이번 해킹으로 감염에 노출됐던 컴퓨터만 1000만대가 넘는 것으로 알려져 있다.

경찰 관계자는 “국민이 많이 사용하는 보안인증 프로그램 취약점과 언론사를 활용한 점을 보면 대규모 사이버 공격 목적으로 치밀하게 장기간 준비한 해킹사건이 아닌지 추정하고 있다”고 설명했다.

현재까지 해킹에 따른 피해는 확인되지 않았지만, 취약점이 발견된 금융보안인증 프로그램을 여전히 사용하는 경우는 20%에 달해서 추가 감염 피해가 우려되고 있다. 경찰 관계자는 “여전히 (문제가 된) 소프트웨어를 사용하고 있는 경우 악성코드가 설치될 위험성이 내포돼 있다”며 “나머지 사용자들도 최신 버전으로 반드시 업데이트해야 한다”고 전했다.

- Copyright ⓒ 조선비즈 & Chosun.com -