北 해커 조직 라자루스, 합법적인 소프트웨어로 악성코드 유포… “보안 결함 악용, 더 교묘해져”

2가지 멀웨어 배포… 방산업체·원전 공격 수법과 유사
합법적인 소프트웨어 활용한 첫 사례

일러스트=정다운

북한 해킹 단체 라자루스가 합법적인 소프트웨어를 활용해 멀웨어를 배포하는 새로운 방식의 해킹을 시도했다는 주장이 제기됐다. 소프트웨어 공급업체의 보안 결함을 악용해 고도의 표적 공격을 수행했다는 것이다.

31일 러시아 보안업체 카스퍼스키랩은 “라자루스의 이번 공격은 라자루스가 얼마나 고차원적인 기술력을 보유하고 있는지를 보여준다”며 “라자루스가 이번에 배포한 멀웨어와 관련해선 이미 예전에 취약점이 보고됐지만, 전 세계 여러 조직에서 여전히 결함이 있는 소프트웨어 버전을 사용하고 있다. 이번 공격의 대상이 된 회사도 마찬가지다”라고 지적했다. 다만 이번에 해킹 공격을 받은 소프트웨어나 해당 업체의 이름은 공개되지 않았다.

이번에 라자루스가 배포한 멀웨어는 ‘SIGNBT’와 ‘LPEClient’ 2가지다. SIGNBT는 시스템을 손상시킨 상태를 유지하기 위해 다양한 기법을 활용하고 있다는 게 카스퍼스키랩의 분석이다.

특히 ‘LPEClient’와 관련, 카스퍼스키랩은 “예전에 방산업체, 원자력 발전소와 엔지니어 및 암호화폐 등을 표적으로 삼았던 것으로 잘 알려진 해킹 도구”라며 “LPEClient는 감염의 초기 지점 역할을 하며 피해자의 프로파일을 파악하고 페이로드(악성 소프트웨어 때문에 탈취된 개인정보 등 피해자 데이터)를 전달하는 데 중요한 역할을 한다”고 밝혔다.

앞서 라자루스는 전 세계 방산업체를 대상으로 해킹 공격을 수차례 시도한 바 있다. 라자루스는 지난해 대륙간탄도미사일(ICBM)과 극초음속 미사일 기술 등을 개발해온 러시아 미사일 개발 업체 ‘NPO 마쉬노스트로예니야’의 컴퓨터 네트워크에 최소 5개월 동안 비밀리에 침투했다. 라자루스의 해킹 흔적은 지난 5월에서야 NPO의 한 엔지니어가 발견한 것으로 전해졌다. 라자루스는 러시아 외에 독일, 이스라엘 등 전 세계 다양한 국가의 방산 업체들을 해킹해왔다.

라자루스를 포함한 북한 해커그룹은 암호화폐 거래에 쓰이는 탈중앙화 금융거래(디파이·DeFi) 플랫폼의 허점을 집중 공략해 금전적인 이득을 취하고 있다. 최근 유엔 안전보장이사회 산하 대북제재위원회는 전문가패널 보고서에서 블록체인 분석업체 체이널리시스를 인용, “라자루스 등 북한과 연계된 해커 집단이 지난해 총 17억달러(2조3000억원)어치 가상화폐를 해킹으로 탈취했다”며 “북한이 핵무기 개발에 필요한 자금을 확보하기 위해 가상화폐 탈취를 적극적으로 활용하고 있다”고 밝혔다.

라자루스는 탈취한 가상화폐를 외국 관계당국이 추적하지 못하도록 교란하는 기술을 사용한 것으로 전해졌다. 보고서는 사이버 보안업체 엘립틱 엔터프라이즈의 분석을 인용해 “라자루스가 ‘신바드’라는 믹서를 사용해 1억달러어치 비트코인을 세탁했다”고 전했다. 믹서는 가상화폐를 작은 단위로 쪼개 원래 전송자를 찾기 어렵게 만드는 서비스다. 업계 관계자는 “라자루스는 기술적, 전략적으로 매우 뛰어난 데다, 한번 표적으로 삼으면 끈질긴 공격을 이어간다”고 말했다.

이번에 발견된 라자루스의 해킹 시도는 디지털 인증서를 사용해 웹 통신을 암호화하도록 설계된 합법적인 소프트웨어를 통해 이뤄졌다. 다만 멀웨어를 유포하는 구체적인 메커니즘은 알려지지 않았다. 카스퍼스키랩은 “라자루스가 여러 소프트웨어 제조업체를 표적으로 삼고 있으며, 다양한 방법의 툴키트를 사용해 광범위한 산업을 대상으로 해킹을 시도하고 있다”며 “운영 체제, 애플리케이션 및 바이러스 백신 소프트웨어를 지속적으로 업데이트해야 한다”고 밝혔다.

- Copyright ⓒ 조선비즈 & Chosun.com -