국내 언론사 8곳 통해 53곳 때린 北해커…"'라자루스' 넌 누구니?"

지난해 6월부터 국내서 '워터링홀 수법'으로 61곳 공격
게임 '디아블로' 캐릭터서 비롯…정부도 제재 대상 지정

북한발 사이버 공격 ⓒ News1 DB

(서울=뉴스1) 오현주 기자 = "북한이 미사일처럼 보이지 않는 강력한 무기를 만들어 국민을 놀라게 한 격"

유명 금융 보안인증 프로그램 '이니세이프'의 보안 취약점을 악용해 언론사 8곳을 포함한 국내 기관 60여 곳을 공격한 북한 해커 '라자루스'에 관심이 쏠리고 있다.

해킹된 유명 금융 보안인증 프로그램 '이니세이프'가 깔린 PC 사용자가 특정 언론사 사이트(8곳)에 접속하면 자동으로 악성코드가 설치되는 수법을 썼다.

20일 경찰청 국가수사본부 안보수사국에 따르면 라자루스는 지난해 6월부터 국내에서 일명 '워터링 홀'(Watering Hole·물 웅덩이) 수법을 써왔다.

먼저 해커는 국내 1위 보안인증 소프트웨어(SW) '이니세이프'의 취약점을 알아내 1차 공격 수단으로 삼았다. 국내 1000만대 이상 컴퓨터에 설치된 보안 솔루션이다.

여기에 악성코드를 심은 뒤 8곳을 언론사 뉴스 사이트를 공격했다. 이 사이트들은 방아쇠 역할을 했다.

북한 해커 '라자루스'의 해킹 수법 (경찰청 제공)

쉽게 말해 '이니세이프'를 PC에 깐 사람이 해킹 당한 특정 언론사 사이트에 접속하는 순간 악성코드가 컴퓨터에 0.01초 만에 깔리도록 했다.

이번 공격으로 악성 SW에 감염된 국내 기관(언론사 제외)은 53곳이다. 피해 기관 중에는 △백신 개발 의료·바이오기관 4곳 △방산 기업 3곳 △공공기관 3곳이 포함됐다.

스피어 피싱 공격처럼 특정 대상을 겨눈 것이 아닌 일반인 등 불특정 대상으로 공격을 펼친 것이다.

보안업계 관계자는 "사자와 호랑이가 먹잇감을 사냥할 때 아무데서나 기다리지 않고 물을 먹으려고 모이는 '물 웅덩이' 근처에서 기다리는 것과 같다"며 "핵심 대상만 잡아 겨누는 기존 'APT'(지능적 지속적 위협) 공격과 다르다"고 말했다.

또 언론사를 악성코드 유포 경로로 활용한 것은 이례적이라는 게 업계의 분석이다.

다른 업계 관계자는 "신종 코로나바이러스 감염증(코로나19) 여파로 오프라인 집회가 줄어들면서 온라인에서 뉴스를 보며 의견을 나누는 문화가 늘어난 점에서 언론사를 교묘하게 이용한 것 같다"고 말했다.

'라자루스'는 '킴수키'(Kimsuky)와 함께 국내에서는 익숙한 해커다. 북한 체제를 비판한 영화 '인터뷰'를 만든 2014년 미국 영화제작사 '소니픽처스'를 공격해 본격적으로 이름을 알렸다.

'라자루스'라는 이름은 당시보안 연구진이 해킹 경로를 분석하다가 공격자의 메일 주소에서 '라자루스'란 영어단어를 발견한 것에서 비롯된 것으로 알려졌다. 유명 게임 '디아블로'의 악마 캐릭터인 '라자루스'에서 유래했다는 분석도 있다.

이들은 2007년초 활동을 시작했고 주로 금융분야를 공격해왔다. 2017년에는 방글라데시 중앙은행을 해킹해 8100만달러를 탈취했다. 우리 정부는 올해 2월 10일 사이버 분야 대북 독자제재 대상으로 라자루스를 지정한 바 있다.

업계는 '라자루스' 같은 북한 해커가 최소 6800명 이상으로 본다. '2020년 국방백서'에 따르면 북한 정부에 소속된 사이버 해커는 약 6800명으로 2013년(3000명)에 비해 2배 이상 증가했다.

일각에서는 정부가 사이버 보안 컨트롤타워 출범에 속도를 내야 한다는 목소리도 나온다. 업계 관계자는 "민간 기업이 북한발 해킹에 모두 철저하게 대응할 수는 없다"며 "민·관·군 등으로 분산된 보안 역량을 아우르는 사이버 보안 컨트롤타워가 하루빨리 필요하다"고 말했다.

woobi123@news1.kr