北 해커조직 라자루스, 공공기관 등 61곳 해킹…경찰, 북한해킹전담팀 신설 검토

100분의 1초만에 악성코드 퍼뜨려

18일 서울 서대문구 경찰청 안보수사국에서 관계자가 보안인증 S/W 취약점 공격 사건 경찰 수사결과 브리핑을 하고 있다. 뉴시스

북한의 대남 공작을 총괄하는 정찰총국의 산하 해커 조직 ‘라자루스’가 국내 언론사 8곳을 포함한 공공기관·민간기업 61곳의 컴퓨터 207대를 해킹한 것으로 드러났다. 라자루스는 인터넷뱅킹에 필수적인 금융보안인증 소프트웨어의 허점을 찾아내 악성코드를 심는 방식으로 해킹했는데, 이때 걸린 시간은 불과 100분의 1초밖에 걸리지 않은 것으로 조사됐다. 경찰청은 북한해킹전담팀을 신설하는 방안을 추진하고 있다.

19일 경찰청 국가수사본부 안보수사국에 따르면, 라자루스는 2021년 4월부터 1년 동안 인터넷뱅킹에 필요한 보안인증 프로그램인 ‘이니세이프’를 악용한 해킹을 준비해왔다. 라자루스는 지난해 6월부터 해킹된 이니세이프가 깔린 컴퓨터가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되는 ‘워터링 홀(watering whole)’ 수법을 활용했다.

피해 대상엔 방산 기업 3곳, 공공기관 3곳, 언론사 8곳 등 61개 기관의 207대 컴퓨터가 포함됐다. 이니세이프의 국내 점유율이 20~25%라는 점을 고려하면, 1000만여 대가 라자루스의 해킹 위험에 노출된 것으로 분석된다. 박현준 안보수사국 첨단안보수사계장은 "조사 결과 100분의 1초 만에 악성코드가 심어지는 방식을 확인했다"고 설명했다.

라자루스는 해킹된 컴퓨터를 이른바 ‘좀비 PC’로 만든 뒤 대규모 대남 사이버 공격을 준비했을 것으로 관측된다. 지난 2009년 7월 7일에도 북한 해커 집단의 ‘디도스(분산서비스거부)’ 공격으로 공공기관, 금융기관 등 40여 곳의 홈페이지가 일제히 마비된 바 있는데, 라자루스도 이와 비슷한 사이버 공격을 감행할 계획이었을 가능성이 있다. 라자루스는 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 ‘워너크라이’ 랜섬웨어 사건을 주도한 조직으로 알려졌다.

다행히 경찰과 국정원은 지난해 10월 말 피해 신고를 접수한 뒤 수사를 시작해 해킹에 따른 금전 유출 등의 피해는 아직 확인되지 않았다. 경찰청은 최근 안보수사국 내에 북한해킹전담팀을 신설하는 방안을 윤희근 경찰청장에 보고했다.

권승현 기자