북한 해킹조직이 미국 보건 분야를 노리고 있다고 미 정부가 경고했습니다. 의료 및 공중 보건 기관에 심각한 위험을 초래할 수 있다는 지적입니다. 조상진 기자가 보도합니다.
미 보건복지부(HHS)가 북한 정권의 후원을 받는 조직인 ‘라자루스’의 해킹을 경고하는 ‘보건 부문 사이버 주의보’를 발령했습니다.
보건복지부는 18일 공개한 주의보를 통해 미 정부 기관의 네트워크와 서버 보안 프로그램인 ‘매니지엔진(ManageEngine)’의 취약점을 악용한 공격이 있었다며, 그 배후로 북한 정찰총국 산하 해킹조직 라자루스를 지목했습니다.
이어 미국의 사이버 보안업체 ‘시스코 탈로스’의 최근 보고서 분석을 인용해 라자루스가 미국과 유럽의 인터넷 기반 인프라와 의료 기관을 표적으로 삼고 있다면서, 이들이 미국 보건 분야 인프라 시설의 보안 프로그램의 취약점을 노렸다고 지적했습니다.
[사이버 주의보] “Cisco Talos has published an open-source report regarding the North Korean state-sponsored actor, the Lazarus Group, reported to be targeting internet backbone infrastructure and healthcare entities in Europe and the United States. The attackers have been exploiting a vulnerability in ManageEngine products, which is tracked as CVE-2022-47966.”
‘매니지엔진’ 프로그램은 정보기술 (IT) 소프트웨어 개발 업체 ‘조호(Zoho Corporation)’사가 개발한 보안 프로그램으로 네트워크와 서버, 모바일 장치 등의 보안 관리에 사용되며, 미국 정부 기관과 500대 기업 등에서 쓰고 있는 것으로 알려졌습니다.
주의보는 라자루스가 악용한 취약점은 공격자가 원격 조종을 실행할 수 있도록 하는 심각한 문제라며, 해당 취약점에 대한 정보가 온라인에 공개된 지 약 5일 뒤 북한이 이를 악용하기 시작했다고 지적했습니다.
이어 라자루스가 이 취약점을 통해 초기 접근 권한을 획득한 뒤 원격 조종을 위한 악성코드를 유포했다고 덧붙였습니다.
미 보건복지부는 라자루스가 지난 1월에 국토안보부 산하 사이버안보·기간시설 안보국(CISA)이 주의보를 발령했던 관련 취약점을 이용한 것으로 파악됐다며, 이를 통해 ‘콰이트랫(QuiteRAT)’으로 알려진 트로이목마 계열 악성코드를 유포한 것으로 보인다고 지적했습니다.
그러면서 해당 악성코드는 과거 라자루스가 사용해왔던 트로이목마 계열 악성코드의 후속 버전이며 동일한 기능을 다수 포함하고 있는 것으로 사이버 보안 연구원들에 의해 분석된 바 있다고 덧붙였습니다.
미 보건복지부는 “과거 CISA와 연방수사국(FBI)이 이러한 유형의 취약점이 악의적인 공격자들에 의해 흔히 악용되는 공격 방법이며, 이것이 의료 및 공중 보건 기관에 심각한 위험을 초래할 수 있다고 경고한 바 있다”고 강조했습니다.
그러면서 “보건복지부는 산하 기관들이 이러한 시스템을 업데이트할 것을 강력히 권고한다”고 밝혔습니다.
앞서 CISA는 지난해 7월 ‘매니지엔진’에서 발견된 원격 코드 실행 취약점에 대한 보안 경보를 발령했으며, 올해 1월에도 공격 주체를 명시하지 않은 채 해킹조직에 의해 문제의 취약점이 악용되고 있다며 보안 패치를 시급히 적용할 것을 권고한 바 있습니다.
미국의 의료 분야를 대상으로 한 북한의 이번 해킹 공격의 목적이 무엇인지는 자세히 밝혀지지 않았습니다.
다만 북한은 과거 의료 기관 등 주요 사회 기반 시설을 해킹해 그 대가로 암호화폐 등 금전을 요구하는 형태의 악의적 사이버 공격을 여러 차례 벌인 바 있습니다.
사이버 전문가인 매튜 하 발렌스글로벌 연구원은 20일 VOA에 북한의 해킹 공격의 배후에는 언제나 금전적 목적이 있었다면서, 북한이 이번에도 탈취한 정보나 잠금 해제 등을 대가로 돈을 요구할 수 있다고 분석했습니다.
[녹취: 매튜 하 연구원] “That requires the North Koreans to be able to steal that information which is a lot harder than just simply accessing a vulnerable target. Extracting information and making transactions is possible only by stealing advanced information, which is more difficult than accessing vulnerable targets. Medical information serves its purpose. What happens if North Korea uses ransomware? The North Koreans have done that in the past through the WannaCry attacks in 2017.”
하 연구원은 북한이 금전적 이득을 목적으로 할 경우에는 보다 고급 정보를 탈취해 거래를 해야 한다며, 북한이 의료 기관을 계속 표적으로 삼는 것은 의료 정보가 탈취될 경우 큰 피해를 입힐 수 있는 고급 정보에 해당하기 때문이라고 설명했습니다.
그러면서 북한은 과거에도 워너크라이 랜섬웨어 공격 등 해킹을 통해 의료 기관을 해킹하고 이를 해제하는 대가로 금전을 요구한 분명한 전적이 있다고 지적했습니다.
미 법무부는 지난해 7월 북한 해커들이 미국 의료기관을 대상으로 랜섬웨어 공격을 가하고 이를 해제하는 대가로 암호화폐를 탈취한 사실을 공개하고, 미국 연방수사국 FBI의 신속한 대처로 약 50만 달러 상당의 암호화폐를 회수했다고 발표했습니다.
또 북한은 앞서 지난 2017년 ‘워너크라이 2.0’ 랜섬웨어 공격으로 미국과 영국, 아시아 등 전 세계 150개 국가의 항공과 철도, 의료 네트워크를 마비시키고 복구 대가로 암호화폐를 요구한 것으로 지목된 바 있습니다.
또 미 국방부는 지난 13일 공개한 ‘2023 사이버 전략’에서 “북한은 사이버 공간에서 다양한 범죄 목적을 추구하고 있다”면서 “금전적 보상을 노린 랜섬웨어 공격 등 심각한 악성 사이버 활동에 북한이 배후에 있다”고 지적했었습니다.
북한은 지난 2014년 ‘소니영화사’ 해킹 사건의 배후 의혹을 전면 부인한 바 있지만 이후 라자루스 등 정권의 후원을 받는 것으로 알려진 해킹조직의 사이버 공격에 대한 국제사회의 지적에 별다른 입장을 밝히지 않았습니다.
VOA 뉴스 조상진입니다.
Forum