연결 가능 링크

“라자루스, 미 방산업체 대상 사이버 공격 지속”


키보드를 사용하는 여성. (자료사진)
키보드를 사용하는 여성. (자료사진)

북한 정부와의 연관성이 제기돼 온 국제 해킹그룹 ‘라자루스’의 사이버 공격이 또다시 드러났습니다. 미 방위산업체에서 보낸 것처럼 위장한 문서파일 등을 통해 금전적 이득을 취하거나 관련 정보 유출을 시도한 것으로 전문가들은 분석했습니다. 김시영 기자의 보도입니다.

국제 해킹그룹 라자루스(Lazarus)가 최근 미국 방위산업체로 위장한 사이버 공격을 지속 중이라는 분석이 나왔습니다.

한국내 사이버 보안 업체 이스트 시큐리티 (EST Security)는 15일 “지능형 지속 공격(APT, Advanced Persistent Threat) 조직인 라자루스(Lazarus)의 공격이 지속되고 있으며, 국내외 공격 뿐만 아니라 최근에는 해외 방위산업체를 타깃으로 공격을 지속 중”이라고 밝혔습니다.

지능형 지속 공격(APT)이란 불특정 다수를 대상으로 하는 일반적 사이버 공격과는 달리, 하나의 대상을 목표로 정한 뒤 공격이 성공할 때까지 여러 보안 위협을 생산해 내는 사이버 공격 방법입니다.

앞서 한국내 또 다른 민간 보안업체 ‘안랩시큐리티는’ 지난 8일 라자루스가 미국와 영국의 방산업체로 위장해 특정 관계자의 정보를 노린 APT를 실행한 사실이 포착됐다고 밝힌 바 있습니다.

'라자루스'의 악성 문서 파일을 실행하면 공격자가 설정한 URL로부터 원격 매크로 파일을 추가 다운로드, 실행한다. 사진 제공: 이스트시큐리티.
'라자루스'의 악성 문서 파일을 실행하면 공격자가 설정한 URL로부터 원격 매크로 파일을 추가 다운로드, 실행한다. 사진 제공: 이스트시큐리티.

이스트 시큐리티는 이날 새로운 APT 악성 문서 파일 3개가 확인됐으며, 지난 5월 초에 라자루스가 미국과 영국 방위산업체를 겨냥했던 악성 문서들과 이름만 다를 뿐 동작 방식이 같다고 밝혔습니다.

그러면서 미국 방산업체인 록히드 마틴(Lockheed Martain), 보잉(Boeing) 그리고 영국 비에이이 시스템즈(BAE Systems)의 인사 담당자 등이 보낸 것처럼 가장한 문서 파일이 이 공격에 사용됐다고 덧붙였습니다.

이어 피해자가 해당 문서를 실행하게 되면, 공격자가 설정한 인터넷 주소로부터 피해자의 컴퓨터에 악성 코드가 내려 받아져 실행되는 공격 방식을 설명했습니다.

또한 악성 코드는 피해자가 컴퓨터를 켤 때마다 자동 실행되도록 시작 프로그램 경로에 ‘OneDrive.Ink’ 파일로 등록되는 것이 특징이라고 밝혔습니다.

이를 통해 감염된 컴퓨터의 이름, 사용자명, 저장 장치 정보, 프로세스 리스트 등이 빠져나가게 된다는 겁니다.

그러면서 라자루스가 최근 악성 문서 파일을 미끼로 해외 방위산업체 타깃 공격을 수행하고 있고, 최근 1달내에 굉장히 활발한 활동을 보이고 있다고 밝혔습니다.

방산업체 BAE 보고서로 위장한 '라자루스'의 악성 문서 파일. 사진 제공: 이스트시큐리티.
방산업체 BAE 보고서로 위장한 '라자루스'의 악성 문서 파일. 사진 제공: 이스트시큐리티.

매튜 하 민주주의수호재단 사이버 안보 담당 연구원은 15일 VOA에, 미국내 방산업체들은 예전부터 북한의 표적이 되어 왔다고 지적했습니다.

[녹취:하 연구원] “American defense companies like Lockheed Martin and Boeing, these are companies that have been targeted by North Korea in the past for espionage purposes. I think there was enough evidence in the malware in the cyber forensics within the various structure in decoding the Lazarus group. And that's a group that has already been tied multiple times to the North Korean regime, and these other underlying things to point to these other facts so there might not be a clear smoking gun but there are several indicators of compromise that point us to that direction.”

이어 라자루스 그룹의 악성 프로그램에 대한 감식을 통해 밝혀진 다양한 구조 분석을 통해, (북한과의 연관성에) 충분한 증거가 확보됐을 것으로 생각한다고 설명했습니다.

특히 라자루스는 북한 정권과 이미 수차례 연관성이 제기됐다며, 이번 증거들이 비록 확증적인 것은 아닐지라도, 여러 다른 증거들과 함께 북한과의 연관성을 가리키는 지표가 될 것이라고 덧붙였습니다.

미국 재무부는 지난해 9월 해킹그룹 라자루스를 ‘블루노로프’, ‘안다리엘’와 함께 제재 대상으로 지정하면서, 이 단체가 미국과 유엔 제재 대상인 북한 정찰총국의 통제를 받고 있다고 밝힌 바 있습니다.

사이버 안보전략 전문가인 리차드 하크넷 미국 신시내티대 교수는 15일 VOA에 “공개된 정보에 의하면 라자루스 그룹의 사이버 작전은 대북 제재의 효과를 약화시키기 위해 자금을 조달하려는 목적의 사이버 금융 사기”가 큰 비중을 차지한다고 지적했습니다.

그러면서 라자루스 그룹이 미 방산업체를 겨냥했다면, 미국의 핵심 연구 혹은 기밀을 훔쳐 다른 국가나 단체들에게 팔아 돈을 벌었을 가능성이 있다고, 하크넷 교수는 덧붙였습니다.

VOA뉴스 김시영입니다.

XS
SM
MD
LG