침해사고/위협동향

北 해킹그룹 라자루스, 국내 유명 인터넷 포럼 자료실 통해 악성파일 유포

이종현
[디지털데일리 이종현기자] 북한 해킹 조직 ‘라자루스(Lazarus)’의 사이버 공격이 발견됐다. 한국의 유명 인터넷 커뮤니티 자료실이 그 대상이다.

23일 이스트시큐리티는 지난 22일 오전 한국의 특정 인터넷 포럼 자료실을 통해 유용한 프로그램처럼 위장한 악성파일이 다수에게 무차별 유포되는 것을 확인했다고 밝혔다.

22일 오전 등록된 악성파일은 ‘시력 보호 프로그램’을 사칭했다. 등록된 당일 기준 약 1600여명이 조회했으며 해당 게시물은 23일 삭제된 상태다.

이스트시큐리티 시큐리티대응센터(ESRC)는 공격자가 기존 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입한 것으로 분석했다. 설치 및 삭제 과정에서 악성코드가 은밀히 작동되도록 기능을 추가했다.

이스트시큐리티 ESRC가 해당 악성파일을 심층 분석한 결과 라자루스 그룹의 소행으로 파악됐다. 이들은 미국 재무부의 제재 대상인 해킹 조직이다. 미국에서는 ‘히든 코브라’라는 이름으로도 통용되며 국내외에서 활발한 사이버 위협을 펼치고 있다.

라자루스는 지난해 유럽의 항공우주 및 군사기업에 근무하는 직원을 대상으로 하는 ‘오퍼레이션 인터셉션’이라는 사이버 공격을 진행한 바 있다. 정상적인 구인 절차처럼 보이지만 첨부한 문서 파일을 실행할 경우 악성코드에 감염되는 방식의 공격이다.

지난 4월 1일 ‘감염병관리지원단’을 사칭해 악성 문서파일을 첨부한 공격과 이번 악성파일의 코드와 유사도가 매우 높은 점도 주목된다. 이러한 공격은 2020년 상반기에 특히 향상되고 있다. ▲블록체인 소프트웨어 개발 계약서 ▲비트코인 투자 카페 강퇴&정지 ▲국내 비트코인 거래소 지원서 사칭 ▲부동산 투자문건 사칭 등도 이번 위협의 연장선으로 조사됐다.

남북관계가 경색된 가운데 북한발 사이버 위협이 잇따르면서 보안업계도 긴장 상태다. 지난 16일에는 또 다른 북한 해킹 조직 ‘김수키’로 추정되는 공격자가 청와대 보안 이메일을 사칭해 악성파일을 유포한 사례가 발견된 바 있다.

문종현 이스트시큐리티 ESRC 센터장은 “라자루스 조직원들이 스피어 피싱 기반 지능형지속위협(APT) 공격뿐만 아니라 유명 인터넷 커뮤니티 자료실에 악성파일을 심는 과감한 공격 전술을 구사하고 있다”며 “커뮤니티 이용자의 각별한 주의가 요구된다”고 말했다.

국정원과 한국인터넷진흥원(KISA) 비롯한 정보보호 기관들은 증가하는 사이버 위협에 모니터링을 강화하고 있는 상태다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널