[디지털데일리 이유지기자] “7.7 디도스(DDoS) 공격부터 최근까지 발생한 대형 사이버공격은 ‘나자로그룹(Lazarus Group)’으로 명명된 동일한 해킹조직 소행이다.”

2009년 정부기관·은행 등 주요 웹사이트를 중단시킨 7.7 디도스(DDoS) 공격부터 2011년 3.4 디도스, 2013년 3.20 전산망 마비 등 많은 피해와 사회적 혼란을 유발한 대형 사이버공격이 모두 ‘나자로그룹’이라는 집단이 벌인 것이란 분석이 나왔다.

‘나자로그룹’은 한국과 미국을 주요 표적으로 삼고 있으며, 지난 2009년부터 활동해온 것으로 파악되고 있다.

보안업체인 시만텍(www.symantec.com)은 지난 26일 2009년부터 ‘나자로그룹’ 관련 사이버공격을 추적·분석해온 결과를 내놓고 이같이 주장했다.

시만텍에 따르면, 나자로그룹은 스파이 작전은 물론 파괴적인 대형 공격도 펼칠 수 있는 강력한 자원을 갖추고 있다. 또 여러 공격 조직이 연합돼 있다는 것을 시사하는 증거도 확인했다. 이러한 조직들은 하나의 특정 조직의 지시 아래 합동으로 움직이고 있을 가능성이 있다고 설명했다.

나자로는 한국과 미국을 집중 공격 대상 국가로 삼고 있으며, 공통적으로 피해를 극대화하기 위해 디스크 파괴(Disk-wiping) 악성코드같은 위협적인 공격기법을 사용한다.

최근 데이터분석 업체인 노베타(Novetta)가 보안업체들과 공조해 소니픽처스 해킹을 조사한 결과를 발표한 보고서 ‘오퍼레이션 블랙버스터(블랙버스터 작전)’에서도 ‘나자로그룹’이 2009년 7.7 디도스 공격을 비롯해 2011년, 2013년 3.20 사이버테러, 2014년 소니픽처스 해킹에 관여한 것으로 분석했다.

◆2009년부터 2015년까지 다양한 공격 활동 = 2003년 1.25 대란 이후 7년 만에 발생한 ‘대란’에 가까운 대형 보안사고였던 7.7 디도스 공격은 도저(Dozer)로 알려진 트로이목마(Trojan.Dozer)가 미리 해킹한 컴퓨터들을 사용했다. 도저는 수많은 웜(W32.Dozer, W32.Mydoom.A@mm, W32.Mytob!gen)을 포함한 공격 캠페인에서 이메일을 통해 확산됐다.

2011년 3·4 디도스 공격으로 알려진 2011년 한국 웹사이트 대상 디도스 공격에서는 코레도스(Trojan.Koredos)라는 더욱 위협적인 악성코드를 이용했다. 감염된 컴퓨터를 이용해 디도스 공격을 감행했을 뿐만 아니라 단시간에 데이터를 모두 삭제했다.

우리나라에서 많이 사용되는 문서파일 확장자인 .hwp, .alz, .gul 등의 파일들이 공격 대상이 됐는데, 첫 감염 후 7~10일 이내에 모든 연결 드라이브의 MBR(master boot record)을 삭제함으로써 윈도 재부팅조차 불가능하게 만들어 사실상 컴퓨터를 무용지물로 만들어 버렸다.

2013년 농협 등 은행과 방송사, 통신사 등을 대상으로 공격을 벌여 큰 피해를 입힌 3.20 사이버공격은 조크라(Trojan.Jokra)라는 디스크 삭제 트로이목마로 공격 표적의 서버를 해킹한 것으로 알려졌다.

당시 국내 한 통신사의 홈페이지 메인 화면이 해골 동영상 이미지와 스스로를 ‘후이즈(Whois)’라고 밝힌 해커로 추정되는 집단의 메시지로 변조됐던 사건이었다.

이들은 2014년 소니픽처스 공격에 사용한 백도어 데스토버(Backdoor.Destover)는 FBI의 경고 대상이 될 만큼 고도로 파괴적인 트로이목마다. 당시 FBI는 해당 공격의 배후에 북한 정권이 있다고 결론지었다.

데스토버는 한국 내 공격 표적을 대상으로 했던 이전의 공격들과 연관성이 있다. 데스토버의 일부 샘플들이 한국의 표적을 공격하도록 만들어졌던 트로이목마 볼그머(Trojan.Volgmer)가 이용한 명령·제어(C&C) 서버에 보고됐다. 공유된 C&C 서버를 보면 두 공격의 배후에 같은 조직이 있다는 것을 시사한다. 한편, 이 악성코드의 업데이트된 버전(Trojan.Volgmer.B)은 최근 국내 대기업들을 표적으로 한 공격들에 사용되기도 했다.

시만텍이 지난해 10월 경고했던 백도어 듀저(Backdoor.Duuzer) 역시 한국의 제조업이 공격표적에 포함돼 있었다. 이 공격은 여러 지역에서 탐지됐는데 듀저의 배후 공격자들이 한국의 많은 조직을 겨냥해 브램블(W32.Brambul), 조납(Backdoor.Joanap)과 같은 위협들을 퍼뜨렸음을 시사하는 증거가 발견됐다.

시만텍코리아 제품기술본부 윤광택 상무는 “사이버 보안 위협이 늘고 있는 가운데 나자로 그룹과 같이 조직적이고 지속적으로 운영되는 사이버 공격 단체가 있다는 것은 중요한 의미를 가진다”며, “특히, 한국이 주요 공격 표적이라는 점에서 나자로그룹의 행보를 예의주시해야 할 필요가 있다”고 덧붙였다.

◆‘다크서울=나자로그룹’, 국내 발생한 대형 사이버공격 주도 = 이전에도 시만텍은 ‘다크서울(Dark Seoul)’ 공격집단이 2013년 3.20과 6.25 사이버공격을 벌였으며, 2009년부터 국내에서 발생한 주요 공격을 주도해 왔다는 점을 발표한 바 있다.

시만텍과 팔로알토네트웍스 등 해외 보안업체들이 지칭하던 ‘다크서울’은 최근 노베타가 공개한 ‘오퍼레이션 블록버스터(블록버스터 작전)’ 보고서에서 ‘나자로그룹’으로 새롭게 이름 붙였다.

지난 2013년 시만텍은 ‘다크서울’ 공격의 특징으로 ▲국내 주요 기관 및 시설을 겨냥한 조직적인 다단계 공격 ▲하드디스크 데이터 삭제 ▲역사적으로 중요한 날짜에 실행되도록 설정된 디도스 공격과 같은 파괴적인 페이로드 ▲정치적 성향의 문구로 디스크 섹터 덮어쓰기 ▲조직내 네트워크를 통한 확산을 위해 합법적인 제3자의 소프트웨어 업데이트 매커니즘 이용 ▲특정 암호화 및 난독화 방식 이용 ▲유사한 명령제어(Command & Control) 구조 이용 등을 지목했다.

‘다크서울’이 실행한 공격은 고도의 인텔리전스와 조직적인 협력을 필요로 하며, 일부 공격은 기술적 정교함을 보여주고 있다고 분석했다.

당시 시만텍은 ‘다크서울’의 배후 집단을 특정하기는 어렵지만 정치적 동기에 기인하고 있고 남한 주요기관들에 대한 사이버사보타주(Cyber sabotage) 위를 지속하기 위해 필요한 금융 지원을 받고 있다고 추정했다.

카스퍼스키랩도 지난 24일 노베타(Novetta), 에일리언볼트(AlienVault) 등 보안업체들과 ‘블랙버스터 작전’이라는 합동조사를 벌인 결과 ‘나자로그룹’이 소니픽처스 공격과 지난 2013년 은행과 방송사를 겨냥한 3.20(다크서울) 공격이 사용된 악성코드 사이에서 연관성을 발견했다고 밝혔다.

공격자들은 악성코드 개발에 사용된 일부 코드를 다른 악성코드 개발에서도 재사용했다는 점을 파악했다. 또 서로 다른 공격에 대한 공격자들의 작업방식에도 유사점이 있다는 것을 확인했다.

서로 다른 공격에서 수집한 정보를 분석하던 중 연구원들은 ‘드로퍼(Dropper)’ 악성코드가 암호로 보호된 집(ZIP) 압축 파일에 저장된다는 사실을 발견했다.

다양한 공격에 사용된 압축 파일의 암호가 서로 같았고, 드로퍼 내에 암호가 저장돼 있었다는 설명이다.

자동화된 분석 시스템이 압축을 풀어 그 기능을 분석하지 못하도록 구현된 이러한 암호 보호 기능이 오히려 배후 범죄 조직의 정체를 밝히는데 도움이 된 셈이다.

더욱이 공격자들이 감염된 시스템에서 자신들의 흔적을 지우기 위해 사용한 특수한 방법과 안티바이러스(백신) 제품의 탐지를 피하기 위해 사용한 일부 기법 등도 공격자를 알 수 없었던 수십 건의 공격이 단일 해커조직의 소행이라는 증거로 제시했다.

또 다른 공통점 중 하나는 여러 공격에 제작된 악성코드들이 모두 거의 같은 대한민국 표준 시간대(GMT+8~GMT+9) 사이에 제작됐다는 점이다.

카스퍼스키랩은 나자로그룹이 사용한 샘플이 적어도 2009년에 제작됐으며 새로운 악성 샘플이 2010년 이후 급격히 증가했다는 점에서 ‘나자로그룹’이 오랫동안 유지되고 있는 해커조직이라고 추정했다.

보안업계는 나자로그룹이 주요 기반시설과 정부와 미디어, 국방, 항공, 금융 등 다양한 산업시설을 대상으로 사이버 공격을 벌인 것으로 파악하고 있다. 다만 나자로그룹의 배후가 '북한'이라고 공식화된 적은 없다. 그렇다고 추정될 뿐이다. 배후로 지목된 주체가 사이버공격을 인정해야하지만 아직 이를 인정한 적이 없기 때문이다.

앞서 우리나라 정부와 수사당국은 7.7 디도스, 3.4 디도스, 3.20과 6.25 공격 등 그간 발생한 사이버공격 주범으로 모두 북한을 지목한 바 있다. 2014년 12월 발생한 한국수력원자력 해킹 사고와 최근 청와대 등 국가기관을 사칭한 해킹 이메일 발송도 북한 소행으로 결론냈다.

앞서 국내 민간 보안전문가들은 청와대 사칭 이메일과 3.20 대란·한수원 해킹 등은 북한의 ‘킴수키(Kimsuky)’ 조직 소행이라는 분석을 내놓기도 했다.

한수원 자료유출 사고를 수사한 합동수사단은 지난해 이 공격을 북한 소행으로 결론내린 근거 가운데 하나로 사용된 악성코드가 북한 해커조직이 사용하는 것으로 알려진 ‘킴수키’와 유사하다고 밝혔다.

미국 정부도 지난 2014년 발생한 소니픽처스 해킹 배후를 북한으로 지목한 적이 있다. ‘블록버스터 작전’에는 보고서를 발표한 노베타와 에일리언볼트, 카스퍼스키랩 외에도 시만텍, 트렌드마이크로 등이 참여하고 있는 것으로 알려졌다.

<이유지 기자>yjlee@ddaily.co.kr