친분 쌓고 악성코드 링크 던지기… 심리 파고든 北 ‘라자루스’

국내 방위산업체에서 근무하는 A씨는 구인·구직 플랫폼에서 우연히 낯선 이와 친해졌다. 수개월간 사업 이야기를 나누며 A씨와 친밀한 사이가 된 B씨는 A씨에게 고연봉을 강조하며 이직을 권유했다. A씨가 더 자세한 정보를 궁금해하자, B씨는 A씨의 회사 메일로 파일 다운로드 링크 주소를 전송했다. A씨가 해당 파일을 다운로드 받은 순간 A씨의 PC는 악성코드에 감염됐다.

B씨는 북한 정찰총국 해킹조직 ‘라자루스’의 일원이었다. 애초 구인·구직 플랫폼에 등록된 B씨 계정은 다른 사람의 것을 도용한 프로필이었다. B씨는 A씨가 내부 시스템 접근 권한이 있을 것으로 판단, 계획적으로 접근한 것으로 나타났다. 직장인이 다른 동료와 이직과 관련한 대화를 나누지 않는다는 점에 착안한 공격 방식이다.

A씨의 사례는 국가정보원이 올해 2월 독일 헌법보호청과 함께 발행한 사이버보안 권고문에 수록된 ‘꿈의 직장’ 작전의 일부다. 매력적인 처우로 이직 제안을 하고 악성파일에 감염시키는 방식 때문에 이 같은 이름이 붙었다. 국정원은 이러한 라자루스의 해킹 방식을 사람의 신뢰, 호기심, 두려움 등 심리를 이용해 악성코드 감염을 유도하는 ‘사회공학적 공격’이라고 평가했다.

실제로 경찰에 따르면 라자루스는 김수키·안다리엘 등 다른 북한 해킹조직과 합동해 2022년 10월부터 지난해 7월까지 국내 방산업체 10여곳에서 자료를 탈취한 것으로 확인됐다.

그간 주로 금융 분야 해킹에 집중한 것으로 알려진 라자루스의 활동 반경은 더욱 넓어지고 있다. 법원 전산망에 침투해 1000GB가 넘는 자료를 유출한 해킹 역시 라자루스의 소행인 것으로 추정된다는 경찰 수사 결과가 지난 11일 발표됐다. 라자루스는 2021년 1월7일 이전부터 지난해 2월9일까지 법원 자료 1014GB를 서버 8대를 통해 외부로 빼낸 것으로 조사됐다.

이 해킹조직이 보안업계에서 라자루스로 불리기 시작한 것은 2016년부터다. 라자루스는 예수가 부활시킨 성경 속 ‘라자로’의 영어 이름이다. 예수가 “이리 나오라”고 말하자 살아 숨진 뒤 묻혀 있던 라자로가 걸어 나왔다고 전해진다. 소니픽쳐스는 김정은 북한 국무위원장의 암살을 소재로 한 코미디 영화 ‘디 인터뷰’를 제작한 뒤인 2014년 11월 해킹 공격을 받았는데, 보안업계는 북한을 주범으로 지목하며 라자루스라는 이름을 붙였다. 뒤늦게 ‘악명’을 얻은 라자루스는 사실 2009년 이미 실질적인 활동을 시작한 것으로 추정된다.

라자루스의 해킹 수준은 무시할 수 없는 수준이라는 게 대체적인 평가다. 해외 사이버 보안업체 카스퍼스키랩은 2019년 가장 두드러진 해킹 활동을 수행한 조직 10개 중 라자루스를 1위로 꼽은 바 있다. 4위에 이름을 올린 ‘블루노로프’ 역시 라자루스의 하위 조직으로 알려져 있다. 인민군 총참모부 산하의 지휘자동화대학은 매년 100여명의 사이버 전문인력을 배출하고 있는 것으로도 전해진다.

북한이 사이버 공격에 집중하는 이유로는 이른바 ‘가성비’(가격 대비 성능)가 꼽힌다. 대북 경제제재를 피해 상대적으로 적은 비용으로 ‘외화벌이’에 나설 수 있다는 것이다. ‘라자루스 탈취 사건’의 저자인 저널리스트 제프 화이트는 ‘미국의 소리’와의 인터뷰에서 “지난 몇 년간 암호화폐 회사들이 탈취당한 거액이 북한 정권의 지속적인 무기 개발에 기여했다”라며 “북한의 사이버 활동과 핵미사일 추구 두 가지를 같이 볼 필요가 있다”고 말했다.

유엔 안전보장이사회 산하 대북제재위원회가 지난해 10월 공개한 보고서에 따르면 2017~2022년 북한이 탈취한 가상화폐는 23억 달러(한화 약 3조1200억원) 수준에 달한다.

기술 탈취 자체가 목표가 되기도 한다. 국정원은 “북한은 절취한 무기 기술로 현재 보유 중인 재래식 무기에 대한 성능 개량 및 현대화를 비롯해 탄도미사일·정찰위성·잠수함 등 전략무기를 개발하는 데도 활용하고 있는 것으로 추정된다”며 “북한에 있어서 사이버 첩보활동은 무기 기술을 획득하기 위한 저비용의 효율적인 수단”이라고 밝혔다.

백준무 기자 jm100@segye.com