北 해킹그룹 라자루스 재등장…”전문 변호사 사칭”

소니픽처스를 해킹하고 전 세계를 마비시킨 워너크라이 랜섬웨어 공격의 배후로 지목된 북한 해킹그룹 라자루스의 지능형 지속위협(APT) 공격이 재등장했다.

이스트시큐리티 시큐리티대응센터(ESRC)는 23일 “정부 차원의 후원을 받는 공격자가 수행한 최신 지능형 지속위협(APT) 캠페인을 확인했다”면서 이같이 말했다.

이어 ESRC는 이번에 발견된 공격에서 지난 3월에 포착된 ‘작전명 배틀 크루져’ 공격과 동일한 부분을 발견했다고 설명했다. 이번 공격에선 파일명과 확장자가 달라졌지만, 내부 익스포트 함수명은 3월과 동일한 ‘battle32.dll’, ‘battle64.dll’ 이름이 그대로 사용됐다는 것이다.

이번 사이버 위협의 배후로 알려진 조직은 일명 ‘라자루스(Lazarus)’로 알려져 있으며, 이미 유사한 공격 사례가 지속해서 보고되고 있어 주의가 필요하다고 ESRC는 설명했다.

라자루스는 북한의 해킹그룹으로 알려졌으며 2014년 소니픽처스 해킹, 2016년 8100만 달러를 훔친 방글라데시 중앙은행 해킹, 워너크라이 랜섬웨어 공격의 배후로 지목되고 있다.

ESRC는 이번에 발견된 악성파일은 기존 소니픽처스를 공격한 것으로 알려진 내용과 같은 메타 데이터(문서속성 정보나 작성자 아이디 등)를 포함하고 있어 같은 공격 그룹이 기존 소스 프로그램을 꾸준히 재활용해 APT 공격을 수행하고 있다고 지적했다.

특히 이번에 새롭게 발견된 악성코드의 파일명은 ‘국가핵심인력등록관리제등검토요청(10.16)(김경환변호사).hwp’이며, 2018년 10월 21일 제작됐다고 한다. 정상적인 한글 파일처럼 위장해 사이버 공격을 하는 전형적인 수법을 사용했다는 것이다.

다만 ESRC는 프로그램 최신 업데이트만 이뤄져 있어도 해킹을 예방할 수 있다고 설명했다.

문종현 ESRC 이사는 “공격자들이 올해 1월부터 지금까지 이뤄진 공격 패턴을 분석해 보면 거의 같은 취약점을 공격해오고 있다”며 “이 취약점은 이미 해당 프로그램 개발사에서 패치를 한 상태여서 최신 업데이트만 되어 있으면 해커들의 공격을 차단할 수 있다”고 설명했다.

문 이사는 “프로그램이 최신 업데이트가 되어 있으면 악성코드가 실행되지 않는다”며 “정품 프로그램을 사용하고 항상 최신 업데이트 상태로 유지하기만 해도 기존에 알려져 있는 해킹기법을 사전에 예방할 수 있다”고 강조했다.

한편, 최근 5년간 북한의 소행으로 추정되는 국내 사이버 테러는 19건에 달하는 것으로 나타났다.

지난 8일 국회 행정안전위원회 조원진(대한애국당) 의원은 경찰청과 국회 입법조사처에서 제출받은 ‘북한 사이버테러 발생 현황’ 관련 자료를 분석한 결과 2013년에는 3월 KBS, MBC 등 방송사와 금융사 등의 전산망 마비, 6월 청와대 홈페이지와 주요 정부 기관 등을 대상으로 한 DDoS(분산서비스거부) 공격, 2014년에는 4월 국방과학기술연구소 내부 PC, 서버 3천여 대가 감염돼 2·3급 기밀이 유출되는 사건 등이 있었다고 밝혔다.