금융보안 SW, 올해도 또 北해커 침입 '뒷구멍' 되나

황국상 기자 2024. 1. 23. 07:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
KISA '2023 하반기 사이버위협 동향' 통해 北 라자루스 공격 분석
금융보안 SW기업 공격→소스코드 탈취·분석→추가 공격에 악용
"작년 탈취한 코드 중 미활용 취약점 악용 공격 증가" 주의보

임종철 디자이너 /사진=임종철 디자이너

임종철 디자이너 /사진=임종철 디자이너


북한 정찰총국 지휘를 받는 해커 조직으로 알려진 라자루스가 지난해에 이어 올해도 금융보안 SW(소프트웨어)를 악용한 공격을 단행할 가능성이 높다는 분석이 나왔다.

KISA(한국인터넷진흥원)는 최근 발간한 '2023년 하반기 사이버 위협 동향' 보고서를 통해 "과거 라자루스발 공격을 분석한 결과 지난해 악용되지 않은 제3의 금융보안 SW가 추가로 악용될 것으로 예상된다"며 이같이 밝혔다.

KISA는 "과거 보안 SW 개발사의 감염을 확인했으나 아직 공격에 활용되지 않은 감염기업의 소프트웨어가 존재한다"며 "이번에 금융보안 SW를 악용해 본 라자루스는 부팅시 자동 실행, 취약 버전의 지속성 등 해당 SW 유형의 특수성에 공감해 빈번히 활용할 것"이라고 전망했다.

라자루스는 2009년부터 악성 활동을 본격 시작한 것으로 알려진 조직이다. 2014년 소니픽쳐스를 상대로 한 '오퍼레이션 블록퍼스터'란 명칭의 공격으로 세간에 알려졌다. 이 조직은 지난해 내내 국내 금융보안 SW의 취약점을 악용해 국내 기업들을 다수 감염시켰다. KISA는 지난해 상반기부터 라자루스 그룹이 제로데이(Zeroday) 취약점을 악용한 공격 정황을 발견하고 이 공격의 영향을 받은 국내 75개 기업을 조사한 후 이번 보고서를 작성했다. 제로데이 공격이란 취약점이 발견되지 않았던 '구멍'을 악용한 공격 또는 취약점이 발견됐더라도 이를 막기 위한 패치가 개발되지 않은 솔루션을 악용한 공격을 일컫는 보안업계 용어다.

과거에도 라자루스는 보안·인증 SW 기업을 공격해 소스코드를 탈취한 후 이 솔루션을 사용하는 기관·기업을 대상으로 공격을 수행했다. 탈취한 소스코드를 분석해 미확인 취약점을 준비하고 이를 통한 공격을 단행하기까지 대략 1년 가량의 시간을 들였다.

2018년 망연계 SW 개발사에 침투한 후 이듬해인 2019년 이 회사의 솔루션을 악용한 공격을 단행한 것이 대표적이다. 2018년 라자루스는 한 금융보안 SW 회사에 침투했고 2년 후인 2020년 이 회사의 솔루션에서 기존에 알려지지 않은 취약점을 악용한 공격을 퍼부었다. 2020년과 2023년에도 라자루스는 금융보안 SW 개발사 2곳에 침투해 얻은 소스코드로 제로데이 공격을 가했다.

특히 지난해 라자루스는 국내에서 개인들이 많이 사용하는 금융보안 SW의 제로데이 취약점을 적극 활용했다. 인터넷 뱅킹 이용률이 높은 국내 특성상 많은 PC에 금융보안 SW가 깔려 있는 데다 대부분 PC에서 항상 실행상태로 대기 중이라는 특성 때문이었다. 라자루스는 금융보안 SW 기업을 상대로 한 공격을 단행한 후 이들 기업의 SW에서 취약점을 확인했다. 또 해당 SW를 사용하는 기관·기업 및 개인을 악성파일 다운로더, 원격제어 프로그램으로 감염시켜 공격을 이어갔다. 2018년 가상자산 거래소에 대한 공격으로 가상자산을 탈취한 건이나 같은 해 방산수출이 급증할 무렵 방산기업의 내부정보를 탈취한 건이 대표적이다. 2020년과 2023년에도 라자루스는 국내 해양교역기업과 우주항공 기업의 내부정보를 탈취하기 위한 공격을 가했다.

KISA는 "알려지지 않거나 공개되지 않은 제로데이 취약점을 100% 방어할 수는 없다"면서도 "취약점을 최소화하기 위해 개발 환경에서 보안 취약점이 발생하지 않도록 환경 조성이 필요하고 취약점 발견시 신속한 대응도 매우 중요하다"고 했다. 또 "공격 표면을 구성하는 사이버보안 취약성과 잠재적 공격 벡터를 지속적으로 발견해 분석·모니터링할 수 있는 가시성 확보가 중요하다"고 했다.

한편 KISA에 따르면 지난해 한 해 발생한 사이버침해 신고건수는 1277건으로 전년(2022년) 1142건 대비 약 12% 늘었다. 전체 사고 중 약 45.7%가 서버 해킹 사건이었고 악성코드(23.5%) DDOS(분산서비스거부공격, 16.7%) 등이 뒤를 이었다. 악성코드 사건 중에서도 이용자 파일과 시스템을 암호로 마비시킨 후 몸값을 요구하는 유형의 공격인 랜섬웨어의 비중이 전체 침해사고 신고의 20.2%를 차지했다. 랜섬웨어 피해기업 중 중견·중소기업의 비중은 92%에 달했다.

KISA는 △사용자들은 신뢰성 없는 링크를 피하고 공식 웹사이트를 통해서만 로그인하고 △기업은 다중인증 요소를 도입하는 등 강화된 보안 정책을 적용하고 △비정상 접근에 대한 탐지 시스템 도입을 통해 무단 로그인 시도를 차단하는 등 노력이 필요하다고 당부했다.

또 가상자산 시장의 성장으로 가상자산을 보유한 기업에 대한 공격이 더 늘어날 것으로 예상했다. 각종 보안 취약점에 대응하기 위해 신속한 보안 업데이트 및 패치 적용도 주요 과제로 지목됐다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.