지난해 6월부터 언론사와 방산 관련 기업 등 61개 기관의 PC 207대가 해킹당하는 사건이 발생했는데, 북한의 대남 공작을 총괄하는 정찰총국 산하 해커 조직 ‘라자루스’ 소행으로 드러났다고 18일 경찰청 국가수사본부 안보수사국이 밝혔다.
‘라자루스’는 인터넷 뱅킹 때 필수적으로 설치하는 금융보안인증 소프트웨어를 해킹해 악성 코드(프로그램)를 심고, 이 소프트웨어를 설치한 PC를 ‘좀비 PC’를 만드는 수법을 썼다고 한다. 안보수사국 박현준 안보수사계장은 “국내 1000만대 이상의 컴퓨터에 설치된 금융보안인증 프로그램의 취약점을 활용해 대규모 사이버 공격을 준비했던 것으로 보인다”고 했다.
북한 라자루스가 해킹 1차 목표물로 삼은 건 국내 유명 금융보안인증 프로그램 ‘이니세이프’였다. 일반인들이 인터넷 뱅킹 같은 전자금융서비스를 이용하려면 필수적으로 설치해야 하는 프로그램이다. 해당 프로그램의 국내 점유율이 20~25%인 점을 감안할 때 1000만여 대 PC가 위험에 노출된 셈이다. 라자루스는 2021년 4월부터 1년여 동안 이니세이프를 해킹해 사이버 공격을 준비했다고 한다.
라자루스는 지난해 6월부터 해킹된 이니세이프가 깔린 PC가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되는 이른바 ‘워터링 홀(watering hole)’ 수법으로 61개 기관의 PC 207대를 해킹했다. 피해 기관 중에는 백신을 개발하는 의료 바이오기관 4곳, 방산 기업 3곳, 공공기관 3곳 등이 포함됐다. 경찰 관계자는 “언론사 홈페이지 접속이 방아쇠 역할을 했고, 해당 PC는 0.01초 만에 악성코드에 오염됐다”고 밝혔다.
라자루스는 이런 수법으로 해킹된 PC의 관리자 권한을 뺏어 ‘좀비 PC’로 만든 뒤 대규모 사이버 공격을 감행할 계획이었던 것으로 전해졌다. 좀비 PC란 해커가 사이버 공격 목적으로 웹사이트를 이용하거나 스팸메일로 악성코드를 심어 오염시킨 PC를 말한다. 좀비 PC는 겉으로는 감염의 흔적을 찾을 수 없는 경우가 많다. 특히 좀비 PC에 심어진 악성코드들은 정상 프로그램 속에 숨겨져 백신 프로그램의 감시를 교묘하게 피한다.
라자루스는 국내 곳곳에 좀비 PC를 확산시켜 ‘디도스(DDoS·분산서비스거부) 공격’을 준비한 것으로 추정된다. 악성코드에 감염된 여러 대의 좀비 PC들이 특정 사이트에 다량의 접속 신호를 보내도록 해 시스템 과부하를 일으키는 방식이다. 지속적인 서비스 운영이 이뤄져야 하는 관공서 웹사이트 등은 몇 시간만 마비돼도 치명적 피해를 일으킬 수 있다. 지난 2009년 7월 7일엔 북한 해커 집단의 디도스 공격으로 공공기관, 금융기관, 언론사, 포털 등 40여 개 홈페이지가 일제히 마비되는 혼란을 겪은 바 있다.
그러나 경찰과 국정원은 지난해 10월 말 피해 신고를 접수한 뒤 수사를 시작했고 북한의 사이버 공격이 시작되기 전에 ‘좀비 PC’ 현황을 파악할 수 있었다. 아울러 해당 보안인증서 업체와 보안패치를 개발해 이너세이프를 사용 중인 기관을 상대로 프로그램 업데이트를 진행했다.
경찰청은 현재까지 수사 결과 금전 유출 등 추가 피해는 발생하지 않았다고 밝혔다. 다만 추가 피해를 막기 위해 보안 인증 프로그램을 최신 버전으로 업데이트할 것을 당부했다. 경찰 관계자는 “업데이트된 보안 인증 프로그램이더라도 북한이 다른 수법으로 해킹 공격을 가할 경우 100% 안전하다고 보장하기는 어려운 게 현실”이라면서도 “추가적인 피해 예방을 위해 주기적으로 보안인증 프로그램을 최신 버전으로 업데이트하는 것이 최선”이라고 했다.
전문가들은 이번 사태는 북한의 사이버 공격 수준이 갈수록 진화(進化)하고 있음을 증명한다고 말한다. 지난 2021년엔 원전과 핵연료 원천 기술 등을 보유한 최상위 국가보안시설인 한국원자력연구원이 북한 해커로 추정되는 세력으로부터 해킹을 당하기도 했다.
경찰은 이런 해킹그룹을 총지휘하는 기관으로 ‘정찰총국’을 꼽고 있으며, 북한 당국이 체계적으로 이들 해킹그룹을 관리하는 것으로 판단하고 있다. 경찰 관계자는 “정찰총국 산하에서 비밀리에 운영되기 때문에 조직 규모, 구성원 파악조차 힘든 상황”이라며 “라자루스는 중국, 러시아 등과 비교해도 밀리지 않는 세계 최고 수준의 해커 조직”이라고 했다. 우리 정부는 라자루스를 지난 2월 사이버 분야 대북 독자 제재 대상으로 지정한 바 있다.
‘킴수키(Kimsuky)’ 역시 북한과 연계된 것으로 파악되는 대표적인 해킹 그룹이다. 이 조직은 주로 국가 기반시설이나 정부기관, 탈북자, 정치인 등을 대상으로 사회적 혼란이나 정보 수집을 위한 사이버 공작을 벌이는 것으로 분석된다. 킴수키는 2014년 한국수력원자력 직원에게 피싱 메일을 발송하는 수법으로 한수원 자료를 탈취해 간 것으로 파악됐다.
☞라자루스
북한 대남(對南) 공작의 총사령부인 정찰총국과 연계된 해커 조직으로 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 사건 등에 연루됐다. 우리 정부는 라자루스를 지난 2월 사이버 분야 대북 제재 대상으로 지정했다.