
국내 보안업체 이스트시큐리티 시큐리티대응센터(이하 ESRC)가 북한의 해커 그룹인 ‘라자루스(Lazarus)’의 활동이 급증하고 있다고 24일 주의를 당부했다. 라자루스의 활동이 한 달 사이 7번째 포착됐다는 것이다.
ESRC는 이날 “지난 23일 발견한 3종류의 악성 HWP 문서 파일에서 모두 동일한 (문서) 취약점과 명령 제어(C2) 서버 사용이 발견됐다”며 “위협 배후에 특정 정부의 후원을 받는 일명 라자루스 그룹이 연계된 것으로 확인됐다”고 말했다.
이어 ESRC는 “DLL(동적연결라이브러리) 내부에는 한국어가 설정돼 있다”며 “공격자가 한국어 기반의 프로그래밍 환경에서 악성 파일을 제작한 단서로 볼 수 있다”고 덧붙였다.
라자루스는 지난 2014년 미국 소니 픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 유포 사건 등에 연루된 대표적인 북한의 해커 조직으로 알려져 있다.
ESRC는 “이번 APT(지능형지속위협) 공격은 국내 유명 암호화폐 거래소에 가입되어 있던 회원들이 주요 공격 대상에 포함된 공통점이 존재한다”며 “지난달 발생한 암호화폐 투자계약서 관련 공격의 연장선에 있는 것으로 확인됐다”고 밝혔다. 라자루스가 지난달부터 국내 암호화폐 거래자 대상 공격을 활발히 진행하고 있다는 것이다.
이어 “악성코드에 감염된 컴퓨터는 C2 서버로 접속을 시도한다”며 “정보 유출 및 추가 명령을 내려 사용자 정보를 서버로 전송한다”고 했다.
또한 공격자는 워드프레스 기반의 웹 서버를 집중적으로 해킹해 C2 서버로 활용하고 있다고 한다. 여기서 워드프레스는 전 세계 웹사이트 33.5%가 이용할 정도로 인기가 높은 홈페이지 유형이다. 워드프레스 웹 서버 중 보안 업데이트가 제대로 되지 않은 사이트를 해킹해 공격 거점으로 활용하는 것이다.
또한 해커는 지속해서 한컴 오피스의 문서 취약점을 이용해 공격을 시도하고 있다. 전문가들은 해당 제품을 최신 버전으로 업데이트하면 이와 유사한 취약점을 사전에 충분히 예방할 수 있다고 조언하고 있다.
한편, 북한은 최근 몇 년간 암호화폐 해킹을 통해 전 세계에 수천억 원의 피해를 준 것으로 나타났다.
유엔은 지난 3월 보고서를 통해 북한이 2017년 2월부터 지난해 9월까지 한국과 일본을 중심으로 5억 7,100만 달러(한화 약 6490억 원)를 탈취했다고 밝혔다.