북중 회담일 北 해커그룹 라자루스 활동 재개… “외화벌이 목적”

라자루스
북한 해커 그룹 라자루스가 암호화폐 계약서를 이용해 피싱공격을 했다. / 사진=이스트시큐리티 제공

북중 정상회담으로 세간의 이목이 집중된 사이 북한 해커 그룹이 피싱(phishing) 공격을 시도한 것으로 뒤늦게 전해졌다. 이번 공격은 암호화폐를 통해 이익을 얻으려는 목적으로 보인다.

이스트시큐리티 시큐리티대응센터(ESRC)는 지난 20일 “특정정부 지원을 받는 해킹 조직으로 널리 알려진 ‘라자루스(Lazarus)’ APT(지능형지속위협) 조직이 HWP 취약점 문서 파일을 활용해 공격을 수행한 정황이 포착됐다”며 “암호화폐 관련 내용의 미끼를 활용하는 등 금전적인 수익 목적의 해킹을 본격화할 가능성이 높다”고 주의를 당부했다.

정부 지원을 받는 해킹조직은 통상적으로 북한, 러시아, 중국 등으로 일컬어지고 있으며 라자루스는 북한 해커 조직으로 알려졌다.

이와 관련 라자루스는 지난 2014년 미국의 소니픽처스 해킹 사건의 배후로 지목됐고,  2016년 방글라데시 중앙은행을 공격해 1억 100만 달러(약 1167억원)를 훔친 혐의도 받고 있다. 이와 관련 미국은 지난해 라자루스 소속 해커 북한인 박진혁을 기소한 바 있다.

그동안 활동이 뜸하던 북한 해커 그룹 라자루스가 암호화폐를 노리고 활동하는 것으로 각별한 주의가 요구된다.

ESRC는 “’투자계약서_20190619.hwp’ 파일명으로 발견된 악성 파일은 06월 19일 제작된 것으로 분석됐다”며 “취약점에 의해 설치되는 최종 악성 DLL 모듈(동적라이브러리, 함수 및 데이터 등이 모인 파일)은 2019년 06월 18일 21시 03분경에 만들어졌다”고 밝혔다.

이번 공격에 사용된 악성 파일은 시진핑(習近平) 중국 국가주석의 방문 몇일 전 제작됐고, 공격은 북중 정상회담 당일(20일)에 이뤄진 셈이다. 이에 해커들이 북중 정상회담으로 세간의 이목이 집중돼 다소 경계가 느슨해진 점을 노린 것 아니냐는 추측도 나온다. 다만 전문가들은 이번 공격은 외화벌이를 목적으로 진행된 공격으로 분석된다며 시기는 우연히 겹친 것으로 보인다고 평가했다.

문종현 ESRC 이사는 “악성파일이 북중정상회담 전에 만들어진 것은 맞다”며 “그러나 정치적인 내용을 담고 있지 않아 북중 정상회담을 노렸다고 보기에는 다소 무리가 있다”고 말했다.

회담을 이용해 피싱을 하려 했다면 악성 파일을 암호화폐 관련 내용이 아닌 북중 정상회담 내용을 바탕으로 만들었을 것이라는 설명이다.

문 이사는 “라자루스는 이전에도 국내뿐만 아니라 해외에서 암호화폐 관련한 공격을 진행한 바 있다”며 “최근 비트코인 가격이 1100만 원을 넘어서는 등 암호화폐 가격이 상승하자 외화벌이를 목적으로 활동을 재개한 것으로 의심된다”고 설명했다.

이와 관련, 유엔은 지난 3월 북한이 세계 암호화폐 거래소에서 8억 달러(한화 약 9천억 원)에 상당의 암호화폐를 탈취했다고 밝힌 바 있다.

북한은 암호화폐가 한 번 탈취되면 추적이 어렵고 해커의 신분을 감추기 쉽다는 점에서 주요 공격 대상으로 삼고 있다.

이어, 문 이사는 “해커가 사용한 취약점은 최신 한컴오피스 보안 업데이트를 통해 사전 차단이 가능한 종류이다”며 “한컴오피스 이용자들은 최신 버전으로 업데이트를 유지하는 것이 무엇보다 중요하다”고 덧붙였다.

한편, 북한으로 추정되는 해커들의 공격이 지속해서 발생해 각별한 주의가 요구된다.

ESRC에 따르면 지난 15일에는 금성121(Geumseong121)이 북한선교학교 신청서로 위장한 피싱 공격을 진행했으며 지난달에는 킴수키(Kimsuky)가 사이버안전국 암호화폐 민원안내로 위장해 사이버 공격을 진행한 바 있다.

‘금성 121’이 사용한 IP주소 중 일부가 평양시 류경동으로 확인된 바 있어 이 해커 조직은 북한의 지원을 받는 조직일 가능성이 높다. 킴수키는 지난 2014년 한국수력원자력을 공격한 배후로 알려진 북한 해커 조직이다.