국내 은행도 `나자로` 사이버 공격 표적

북한이 기업은행과 하나은행 등 국내 금융기관을 사이버 공격 목표물로 삼은 것으로 드러났다. 북한은 각종 국제 제재로 외화벌이가 막히면서 세계 31개국 100여개 은행에 사이버 공격을 시도했다.

금융보안원(원장 허창언)은 국내 금융회사에 `나자로(Lazarus)` 사이버 공격 정보를 공유했다. 사이버 보안 기업 시만텍은 지난해 10월부터 세계 31개국 100여개 금융기관이 사이버 공격을 받았고 나자로 그룹이 연관됐다고 밝혔다.

소니픽처스를 해킹한 조직 `나자로 그룹`(자료:노베타)
소니픽처스를 해킹한 조직 `나자로 그룹`(자료:노베타)

이 사건은 최근 폴란드 은행에서 침해사고 흔적이 발견되며 알려졌다. 사고 조사 결과 폴란드 금융당국 웹사이트 등이 사이버 공격에 악용됐다. 멕시코 중앙은행과 증권위원회 웹사이트, 우루과이 최대 국영 은행도 같은 악성코드에 감염됐다.

공격자는 150곳에 달하는 인터넷 주소(IP)에서 특정 웹사이트에 접속했을 때만 악성코드를 감염시키는 방법을 썼다. 여기에 하나은행과 IBK기업은행 IP 대역이 포함됐다. 하나은행과 기업은행 IP 대역에서 공격자가 악성코드를 심어 놓은 웹사이트에 접속하면 감염되는 방식이다.

A보안전문가는 “특정 IP 대역에서만 악성코드가 감염되게 한 맞춤형 공격”이라면서 “다른 IP 대역에서 분석가 등이 접속하면 어떤 악성코드도 내려오지 않아 알 수 없다”고 말했다. 해당 IP 대역대를 쓰는 기업을 표적한 공격이다.

나자로그룹의 공격표적(자료:카스퍼스키랩)
나자로그룹의 공격표적(자료:카스퍼스키랩)

시만텍은 해당 악성코드를 분석하면서 일부 코드에서 나자로 그룹 흔적을 발견했다.

시만텍과 BAE시스템 등은 2014년 소니픽쳐스를 해킹해 미개봉 영화를 비롯해 회사 기밀을 빼낸 조직을 `나자로`로 명명했다. 미국 정부는 소니픽쳐스 해킹 주범으로 북한을 지목했다. 나자로는 사실상 북한 사이버전사다. 그들은 2009년부터 활동하며 주로 한국, 미국 정부기관과 민간 기업을 공격했다. 나자로는 지난해 방글라데시 중앙은행에서 스위프트 네트워크를 해킹해 8100만달러를 탈취한 사건과도 연관된다.

BAE시스템 조사 결과 나자로 그룹은 악성코드에 고의로 러시아어를 삽입해 추적을 혼란시켰다. 러시아 해커조직으로 위장하는 수법이다. BAE시스템은 공격자가 러시아 원어민이 아니라 번역기를 이용해 실제 러시아인이 쓰지 않는 언어를 넣었다고 분석했다.

금융보안원 관계자는 “국내 은행 피해는 발생하지 않은 것으로 안다”며 “이들이 세계 금융권을 대상으로 사이버 공격을 해 주의가 필요하다”고 말했다.

북한이 국내 은행을 표적으로 사이버 공격을 한 정황이 발견됐다. ⓒ게티이미지뱅크
북한이 국내 은행을 표적으로 사이버 공격을 한 정황이 발견됐다. ⓒ게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com