보안인증 프로그램·언론사 해킹···배후에 북한 해커그룹

북한 연계 해커그룹 ‘라자루스’ 소행
워터링홀 수법으로 PC 1000만대 감염
경찰, 사이버 공격 전 포착…피해 막아

해커그룹 ‘라자루스’ 보안인증 프로그램 해킹 사건 개요도. 경찰청 제공

경찰청 국가수사본부는 지난해 발생한 보안인증 프로그램 해킹 사건이 북한과 연계된 해커그룹 ‘라자루스’의 소행으로 파악됐다고 18일 밝혔다.

라자루스는 2014년 미국 소니픽쳐스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 ‘워너크라이’ 유포 사건 등의 배후로 의심받고 있다. 지난 2월부터 정부의 대북 독자 제재 대상에도 포함됐다.

경찰에 따르면 라자루스는 2021년 4월부터 1년여간 국내 유명 보안인증 업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다.

이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되도록 했다. 이른바 ‘워터링홀’ 수법으로, 국내 언론사 8곳을 포함한 61개 기관의 PC 207대를 이런 식으로 해킹했다.

경찰은 지난해 10월 피해 사이트 중 한 곳에서 해킹 시도가 있다는 첩보를 입수해 국정원, 한국인터넷진흥원(KISA) 등과 함께 수사에 착수했다. 공격 인프라 구축 방식, 워터링홀 수법, 악성코드 유사성 등을 근거로 이번 사건을 라자루스의 소행으로 결론지었다.

라자루스에 해킹된 보안인증 프로그램이 설치된 PC는 국내에 1000만대 이상 있다. 라자루스는 당초 해킹된 PC의 관리자 권한을 빼앗아 이른바 ‘좀비 PC’로 만든 뒤 대규모 사이버 공격을 감행할 계획이었으나 해킹 징후가 사전에 포착돼 피해는 발생하지 않았다고 경찰은 전했다.

경찰청 관계자는 “북한 해킹 수법이 날로 고도화하고 있어 보안인증 프로그램을 최신 버전으로 업데이트해야 피해를 최소화할 수 있다”며 “유사 해킹 시도 수사도 계속 진행할 계획”이라고 말했다.

이유진 기자 yjleee@kyunghyang.com