'금융인증' 취약점 노린 해킹…배후엔 북한 해커조직

라자루스, 언론사 8곳 포함 61곳 해킹
2021년 4월부터 준비

북한 해커그룹이 금융 보안인증 소프트웨어의 보안 취약점을 파고들어 국내 61개 기관을 해킹한 것으로 드러났다. 사진은 사건 개요도. /경찰청 제공

[더팩트ㅣ김세정 기자] 북한 해커그룹이 금융 보안인증 소프트웨어의 보안 취약점을 파고들어 국내 61개 기관을 해킹한 것으로 드러났다.

경찰청 국가수사본부 안보수사국은 북한 정찰총국이 배후로 알려진 해킹조직 '라자루스'가 언론사 8곳을 포함해 국내 61개 기관 컴퓨터 207개를 해킹했다는 수사 결과를 18일 발표했다.

경찰은 라자루스가 해킹 공격을 위해 2021년 4월부터 치밀하게 준비했다고 보고 있다. 이들은 국내 보안인증 소프트웨어 업체 한 곳을 해킹해 소프트웨어 취약점을 찾아냈다. 이후 공격용 웹 서버와 공격 인프라를 준비했다.

해당 업체의 소프트웨어는 인터넷뱅킹을 이용하기 위해선 설치해야 하는 것으로 국민 다수가 사용하는 프로그램이다. 국내 1000만대 이상의 컴퓨터에 설치된 것으로 추정된다.

라자루스는 이 소프트웨어가 설치된 컴퓨터가 특정 사이트에 접속할 경우 자동으로 악성코드를 설치하는 '워터링홀' 방식을 사용한 것으로 파악됐다. 방문 가능성이 높거나 많이 사용하는 사이트를 노렸다. 이번 범행으로 언론사 8곳, 공공기관 3곳 등 국내 주요 기관 61곳이 피해를 봤다.

경찰청은 국정원과 한국인터넷진흥원 등 관계기관 합동분석을 통해 △공격 인프라 구축 방법 △워터링홀 악용 방식 △악성코드 유사성 등을 토대로 이번 사건을 라자루스 소행으로 판단했다.

라자루스는 2014년 미국 소니픽쳐스 해킹사건과 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건에 연루된 것으로 알려진 북한의 해킹조직이다. 정부의 사이버 분야 대북 독자 제재 대상으로도 지정돼 있다.

추가 피해를 막기 위해선 보안인증 프로그램을 최신 버전으로 업데이트해야 한다. 경찰청 관계자는 "이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하는 한편 추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어 나갈 계획"이라고 밝혔다.

sejungkim@tf.co.kr

발로 뛰는 더팩트는 24시간 여러분의 제보를 기다립니다.
▶카카오톡: '더팩트제보' 검색
▶이메일: jebo@tf.co.kr
▶뉴스 홈페이지: http://talk.tf.co.kr/bbs/report/write