라자루스에 김수키까지…활발해지는 北 사이버 공격

해킹
2차 북미 정상회담을 앞두고 북한으로 추정되는 해커들의 공격이 활발해지고 있는 것으로 전해졌다. / 사진=pixabay

최근 개성 남북공동연락사무소를 폭파하는 등 대남 압박 수위를 높이는 북한이 온라인 공간에서도 공격을 활발히 전개하는 것으로 나타났다.

이스트시큐리티는 23일 “어제 한국의 특정 인터넷 포럼 자료실을 통해 마치 유용한 프로그램처럼 위장한 악성 파일이 불특정 다수에게 무차별 유포됐다”며 “악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있다”고 주의를 당부했다.

이스트시큐리티는 이어 “이번 악성 파일을 심층 분석한 결과, 특정 정부가 배후로 지목된 일명 ‘라자루스(Lazarus)’ 그룹의 소행으로 조사됐다”며 “이들은 미국 재무부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로도 통용된다”고 설명했다.

라자루스는 북한 정찰총국의 통제를 받는 조직으로 지난 2014년 소니 픽처스, 2016년 방글라데시 중앙은행 해킹 사건의 배후로 알려졌다. 미국 재무부는 지난해 9월 라자루스를 ‘블루노로프(Bluenoroff)’ ‘안다리엘(Andariel)’과 함께 제재대상으로 지정한 바 있다.

유명 인터넷 포럼 자료실에 등록된 악성파일 화면. / 사진=이스트시큐리티 제공

라자루스는 한국을 대상으로는 주로 비트코인 등 암호 화폐 거래 관계자를 표적으로 삼고 있으며 해외를 상대로는 항공 및 군 관련 방위산업체 분야를 주요 공격대상으로 삼고 위협 활동을 펼치고 있다.

국내에서 주로 암호화폐 거래 관련자를 노렸던 라자루스가 이번엔 불특정 다수를 대상으로 공격을 시도했다는 점에서 향후 사이버 공격 대비 정지 작업을 전개했을 가능성이 제기된다.

사용자의 컴퓨터가 악성코드에 감염되면 해커가 미리 설정해둔 명령제어(C2) 서버와 통신해 감염된 정보가 탈취되고 공격자의 추가 명령을 지속해서 대기하는 일명 좀비PC가 된다. 이후 공격자의 의도에 따라 원격제어 등 예기치 못한 피해가 추가로 이어질 가능성이 커 2, 3차 피해가 발생할 우려가 높다.

해당 악성 파일이 포함된 게시물은 22일 오전 8시 49분경 등록됐고, 당일 기준 약 1600여 명이 조회한 것으로 확인됐다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며, 23일 오전 기준 게시물은 삭제된 상태다.

문종현 이스트시큐리티 ESRC(시큐리티대응센터)센터장은 “라자루스 조직원들이 스피어 피싱 기반 APT(지능형지속위협) 공격뿐만 아니라, 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있다”며 “커뮤니티 이용자의 각별한 주의가 요구된다”고 말했다.

김수키가 제작한 악성코드를 디코딩(복호화) 하면 청와대 아이콘이 나타난다. 파일을 실행시 나오는 팝업에는 ‘현시’라는 북한식 표현이 사용됐다. /사진=이스트시큐리티 ESRC 제공

또한 최근 다른 북한 해킹 조직 김수키(Kimsuky)의 사이버 공격도 포착됐다.

ESRC는 지난 19일 “청와대 보안 이메일 파일처럼 사칭한 APT(지능형 지속위협) 공격용 악성 파일 변종이 복수로 발견됐다”며 “파일을 분석한 결과 특정 정부와 연계된 것으로 알려진 이른바 ‘김수키’ 조직의 APT 공격의 연장선으로 확인했다”고 밝혔었다.

김수키는 지난 2014년 한국수력원자력을 공격한 바 있으며 당시 합동수사본부는 이들의 배후에 북한이 있다고 발표했다. 김수키와 연계된 특정 정부란 북한을 지칭한다.

특히 악성 프로그램을 실행하면 북한에서 주로 사용하는 단어가 표시되는 것으로 확인됐다.

ESRC는 “악성 파일을 실행하면 ‘보안 메일을 현시에 안전합니다”는 메시지가 나온다”며 “‘현시’는 북한식 언어 표기법이다”고 말했다.

조선말대사전은 ‘현시’를 ‘나타내어 보여지는 것’이라고 설명하고 있다. 북한 선전매체 등에서는 ‘현시’라는 단어가 자주 사용되지만, 국내에서는 거의 쓰이지 않고 있다. 악성코드 제작자가 북한말에 익숙한 사람임을 추론한 수 있는 대목이다.

악성코드와 통신하는 C2서버에 접속하면 청와대 홈페이지로 이동한다. /사진=이스트시큐리티 ESRC 제공

한편, 김수키는 이번 공격 성공률을 높이기 위해 다중의 포석을 깔아뒀다.

ESRC는 “Windows 스크립트 파일 유형으로 제작된 ‘bmail-security-check.wsf’ 악성 스크립트 코드를 디코딩(복호화)하면 ‘bmail-security-check.exe’, ‘AutoUpdate.dll’ 파일 등이 생성된다”며 “이 중  ‘bmail-security-check.exe’ 악성코드는 청와대 로고 이미지를 아이콘으로 사용하고 있다”고 설명했다.

여기서 bmail은 청와대를 블루하우스(BH, Blue house)라고 부르는 것에서 착안한 것으로 보인다. 해커가 파일명, 아이콘 등 시각적 요소에 공격 대상자를 속일 수 있는 장치를 이중으로 설치한 셈이다.

또한 공격자의 명령 제어(C2) 서버 일부 주소가 청와대 사이트로 연결되는 점도 확인됐다.