여러 곳에 ‘함정’ 설치… 길게는 몇 년에 걸쳐 야금야금 정보 빼내

北 정찰총국의 라자루스

대법원 전산망을 해킹한 라자루스는 ‘히든 코브라’라는 별명으로도 불린다. 이름은 죽었다가 다시 살아난 성경 속 인물 ‘나자로’에서 따온 것으로 전해진다. ‘킴수키’와 더불어 북한의 양대 해킹 조직으로 알려져 있다. 한국, 미국, 중국 등 국가를 가리지 않고 공공 기관과 은행 등을 공격해 기밀 정보를 훔치고 가상 자산을 탈취해 수익을 얻는다.

라자루스는 2009년부터 4년간 한국과 주한 미군을 공격한 ‘트로이 작전’을 통해 존재가 알려졌다. 이들이 보낸 온라인 메일의 첨부 파일을 열면 그리스신화 속 트로이 목마처럼 사용자도 모르게 악성 프로그램이 컴퓨터에 설치돼 데이터가 빠져나갔다. 2017년 세계 100여 국을 혼란에 빠뜨린 ‘워너 크라이’ 악성코드 유포 사건도 이들의 소행이다. 사용자의 중요 파일을 암호화한 뒤, 일정 금액을 내지 않으면 암호를 풀어주지 않는 식으로 피해를 입혔다. 이 밖에 ‘소니픽처스 해킹’ ‘방글라데시 중앙은행 해킹’ 등 굵직한 사건에 연루됐다.

라자루스를 비롯한 북한 해커의 공격 감지가 어려운 것은 오랜 기간에 걸쳐 집요하게 이뤄지기 때문이라는 게 전문가들의 분석이다. 보통의 해커는 내부인 등 특정 공격 대상을 지목해 악성 코드를 심고, 해킹이 이뤄지는 순간 대규모 정보를 빼가는 식이다. 하지만 북한의 해커들은 다수의 내부 직원 계정과 단말기를 대상으로 해킹 메일 등 함정을 파놓은 후, 이들이 걸려 들면 몇 달, 길게는 몇 년에 걸쳐 정보를 조금씩 빼간다. 보안 기술 기업 S2W 서상덕 대표는 “이런 방식으로 해킹당한 시스템은 대용량 유출이나 외부 통신 같은 이상 징후가 없기 때문에 탐지가 어렵고, 중도에 탐지되더라도 자체 시스템이 업데이트되는 과정에서 이전 기록이 삭제돼 언제부터 얼마나 피해 봤는지 알기 어렵다”고 했다.

이런 방식으로 라자루스는 2021년에는 1년 동안 국내 유명 보안 인증 업체를 해킹한 뒤, 해당 프로그램이 설치된 PC가 특정 언론사에 접속하면 악성 코드가 심어지는 이른바 ‘워터링 홀’ 수법으로 국내 언론사와 공공 기관 PC를 해킹했다. 조사 결과, 악성 코드 설치가 ‘100만 분의 1초’ 만에 이뤄질 정도로 순식간에 일어난 것으로 드러났다.

북한의 해킹 수법이 고도화되면서 적극적인 보안 대책이 필요하다는 지적이 나온다. 김명주 서울여대 정보보호학과 교수는 “북한이 타깃의 서버 주변부터 공략해 될 때까지 해킹하는 ‘지능형 지속 공격(APT)’ 방식을 이어가고 있어 개별 기관 대응은 불가능에 가깝다”면서 “전체 공공 기관의 모니터링 시스템 구축 등 국가 단위의 대응이 필요할 때”라고 했다.