北 해킹조직 ‘라자루스’ 언론사·공공기관 등 61곳 뚫었다

금융보안 프로그램 취약점 악용
대 규모 사이버 공격 준비 가능성
징후 사전 포착 실제 피해 없어

박현준 국가수사본부 안보수사국 첨단안보수사계장이 18일 서울 서대문구 경찰청에서 지난해 국내외 주요 민간·공공기관에 대한 해킹 사건 수사 결과를 발표하고 있다. 경찰은 이 사건이 북한 해킹조직 ‘라자루스’의 소행이라고 밝혔다. 연합뉴스

지난해 발생한 국내외 61개 주요 민간·공공기관의 해킹 사건은 해킹조직 ‘라자루스’ 소행인 것으로 확인됐다. 라자루스는 북한 정찰총국이 배후라고 알려져 있다. 경찰은 해당 보안 프로그램이 설치된 컴퓨터가 1000만대가 넘는 만큼 북한이 대규모 대남 사이버 공격을 준비했을 가능성에 무게를 둔다.

경찰청 국가수사본부 안보수사국은 “지난해 11월부터 금융보안인증 소프트웨어 취약점 악용 공격 사건을 수사한 결과 공격 인프라 구축 방법, 공격 방식, 악성코드 유사성 등을 봤을 때 북한 해킹조직 라자루스의 소행인 것으로 판단했다”고 18일 밝혔다.

라자루스는 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 워너크라이 사건을 주도한 것으로 지목된 조직이다. 정부는 지난 2월 사이버 분야 대북 독자제재 대상으로 라자루스를 지정했다.

이 해킹 조직은 2021년 4월부터 국내 1위 금융보안인증 소프트웨어 ‘이니세이프’의 보안 취약점을 찾아낸 뒤 공격에 활용할 웹 서버와 명령·제어 경유지 등 공격 인프라를 1년 이상 구축해 온 것으로 조사됐다.

이들은 지난해 6월부터 이니세이프를 설치한 컴퓨터가 특정 언론사 사이트에 접속하면 자동으로 악성코드를 심는 수법을 썼다. 이른바 ‘워터링홀’ 수법이다. 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 뒤 해당 사이트를 방문하는 컴퓨터에 추가로 악성코드를 심는 방식이다. 이를 통해 국내 언론사 8곳, 의료·바이오 기관 4곳, 공공기관 3곳 등 61개 기관의 컴퓨터 207대를 해킹했다.

워터링홀은 특정 인물을 대상으로 하는 해킹 수법으로 알려져 있다. 정부 고위 관계자 등이 접속할 것으로 추정되는 사이트를 감염시키고, 겨냥한 인물이 해당 사이트에 접속하면 자동으로 악성코드를 심은 뒤 정보를 빼내는 방식이다. 하지만 이번 사건은 국민 대다수가 컴퓨터에 설치한 금융보안인증 프로그램의 취약점을 악용한 것으로, 북한이 대규모 사이버 공격을 준비한 것으로 보인다는 게 경찰 설명이다.

라자루스는 해킹된 컴퓨터의 관리자 권한을 뺏어 이른바 ‘좀비PC’로 만든 뒤 사이버 공격을 본격화할 예정이었던 것으로 파악됐다. 박현준 안보수사국 첨단안보수사계장은 “조사 결과 100분의 1초 만에 악성코드가 심어지는 방식을 확인했다”며 “다만 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다”고 설명했다.

현재까지 해킹에 따른 피해는 확인되지 않았지만, 취약점이 발견된 옛 버전의 이니세이프를 사용하는 경우가 20% 정도로 알려져 추가 감염 피해가 우려되는 상황이다. 경찰 관계자는 “여전히 문제가 됐던 소프트웨어를 사용하는 경우 악성코드가 설치될 위험성이 있는 것”이라며 “나머지 사용자들도 최신 버전으로 반드시 업데이트해야 한다”고 당부했다.

이가현 기자 hyun@kmib.co.kr

GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지