“언론사 8곳 등 61곳 해킹”…北 해커조직 ‘라자루스’가 주도

기사와 직접적 관련 없는 참고사진. 게티이미지뱅크

지난해 6월 금융보안인증 소프트웨어 취약점을 악용해 사이버 공격이 발생했다. 이같은 사이버 공격은 북한 정찰총국과 연관된 해커그룹 ‘라자루스’의 소행으로 밝혀졌다.

경찰청 국가수사본부(국수본) 안보수사국은 18일 브리핑을 통해 “지난해 11월부터 금융보안인증 소프트웨어 취약점 악용 공격 사건을 수사한 결과, 이번 사건이 ‘라자루스’ 해킹 조직의 소행인 것으로 파악했다”고 밝혔다.

라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 해킹조직으로, 이들 조직은 북한의 대남정보기관이자 대외 무력행사를 주도하는 정찰총국의 지시를 받고 일하는 것으로 알려졌다. 우리 정부는 지난 2월 사이버 분야 대북 독자제재 대상으로 ‘라자루스’ 해킹조직을 지정했다.

경찰청에 따르면 리자루스는 2021년 4월부터 1년여 동안 국내 유명 보안인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되는 이른바 ‘워터링 홀’(watering hole) 수법으로 국내 언론사 8곳 등 61개 기관의 PC 207대를 해킹했다.

경찰청 안보수사국 소속 박현준 첨단안보 수사계장은 PC의 해킹과정과 관련해 “100분의1초만에 악성코드가 심어지는 방식을 조사 결과 확인했다”고 말했다.

경찰청은 라자루스가 해킹한 PC의 관리자 권한을 뺏어 이른바 ‘좀비 PC’로 만든 뒤 사이버 공격을 감행할 계획이었지만 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다고 전했다.

지난달 30일 국가정보원(국정원)은 시민들에게 관련 보안 취약점을 공개하고 신속한 금융보안인증 프로그램 업데이트를 당부했다. 당시 경찰청과 국정원은 관련 분석 자료를 근거로 해당 보안인증서 업체와 협조해 실제 공격과 방어 시현을 진행하는 등 보안패치 개발을 완료했다. 이후 해당 소프트웨어를 사용 중인 공공·금융기관을 대상으로 관계기관과 함께 보안패치 작업을 완료해 해킹을 차단했다.

최재호 동아닷컴 기자 cjh1225@donga.com