[디지털데일리 이종현기자] 북한의 지원을 받는 것으로 알려진 해커그룹 ‘라자루스(Lazarus)’가 전 세계 10여개국 이상의 국방 관련 업체로부터 민감한 데이터를 훔쳤다는 보고서가 나왔다.
지난 25일(현지시각) 글로벌 보안기업 카스퍼스키은 지능형지속위협(APT) 공격을 수행하는 라자루스는 지난해 방위 산업에 대한 공격을 수행했다는 내용의 보고서를 발표했다. 러시아 기업을 비롯해 유럽, 북미, 중동 및 아시아 등 광범위한 공격이 이뤄진 것으로 확인됐다.
공격의 시작은 ‘스피어피싱’이었던 것으로 확인됐다. 특정 목표를 대상으로 악성코드가 포함된 메일을 보내 감염시키는 방식이다. 코로나19 관련 정보를 사칭하는 등 사회공학적 기법으로 피해자를 속였다.
라자루스는 문서파일의 매크로 기능(워드 파일의 ‘콘텐츠 사용’ 등)을 통해 다단계 배포 절차를 진행했다. 감염자의 장치를 제어할 수 있는 ‘쓰레트니들(ThreatNeedle)’이라는 명칭의 백도어가 활용된 것으로 알려졌다.
카스퍼스키는 홈페이지를 통해 “라자루스의 공격에서 흥미로운 점은 공격자가 네트워크 세분화를 극복했다는 점”이라고 전했다. 통상 보안을 중시하는 기업·기관의 경우 망분리를 통해 인터넷망과 사내망을 분리하는 네트워크 체계를 갖추는데 라자루스가 분리된 망을 관리하는 라우터를 해킹함으로써 망분리도 무력화했다는 것이다.
박성수 카스퍼스키 책임 연구원은 “앞으로 쓰레트니들을 두 번 이상 배게 될 것”이라며 해당 백도어에 대한 모니터링을 지속할 예정이라고 밝혔다.
한편 라자루스는 지난해 가장 활발한 APT 공격을 수행한 해커 그룹이다. 전 세계에 영향을 미친 랜섬웨어 공격 ‘워너크라이’의 배후로 지목되는 곳이기도 하다. 최근 미국 법무부로부터 2012년 이후 전 세계은행과 기업으로부터 13억달러(한화로 약 1조4638억원)를 훔친 혐의로 기소된 박진형, 전창혁, 김일이 몸담은 조직으로 알려졌다.
카스퍼스키는 최근 몇 년 동안 해킹을 통해 외화벌이에 집중하던 이들이 2020년 초부터 방위산업 등으로 공격을 넓힌 점을 주목했다.