남북 평화 논의한 2분기...가장 활발했던 해킹 조직은 '라자루스'

한반도 평화 논의가 이뤄진 2분기 동안 가장 활발한 사이버 활동을 벌인 해킹 조직은 '라자루스'였다. 라자루스는 2014년 소니픽처스 해킹 사건 주범으로 지목된 조직이다. 미국 정부는 라자루스를 북한이 지원하는 해킹 조직으로 발표했다. 북한은 오프라인에서 남북-북미 정상회담 등을 진행하고 사이버에서 경제 이익과 정보를 탈취하는 해킹을 지속했다.

카스퍼스키랩 글로벌 위협분석팀 GReAT는 2분기 지능형지속위협(APT) 트렌드 리포트를 통해 라자루스와 블루노루프 활동이 눈에 띈다고 밝혔다. 블루노루프는 라자루스와 연계된 하위 해킹 조직이다.

소니픽처스를 해킹한 조직 나자루스 그룹(자료:노베타)
소니픽처스를 해킹한 조직 나자루스 그룹(자료:노베타)

북한이 지원하는 해킹 조직은 금전 이익과 첩보 활동을 지속했다. 라자루스·블루노루프 그룹은 터키 금융기관 해킹과 중남미 온라인 카지노 침해사고를 일으킨 것으로 추정된다. 이들은 터키 암호화폐 거래소 팔콘(Falcon) 코인 도메인과 거의 흡사한 팔칸(Falcan) 코인이라는 계정으로 워드가 첨부된 이메일을 보내는 수법을 사용했다. 피해자가 이메일을 열면 컴퓨터에 악성코드가 심어지고, PC 내 문서를 원격으로 다운받는다.

라자루스는 아시아 금융기관을 표적으로 지속적으로 해킹을 시도 중이다. 금전 탈취 목적으로 보인다. 남북-북미 대화가 있었지만 대북 제재는 풀리지 않았다. 금융기관과 암호화폐거래소 등을 공격해 금전을 탈취를 시도한다.

카스퍼스키랩은 라자루스가 오랜 시간 동안 광범위한 사이버 공격을 수행하면서 많은 코드를 재사용하며 흔적을 남긴다고 분석했다. 이 중 최근 발견된 것은 '매너스크립트(Manuscrypt)' 악성코드다. 라자루스 최신 공격에 특이하게 사용된 악성코드다. 미국 침해사고대응팀(US-CERT)은 6월 매너스크립트 변종 버전인 '타입프레임(TYPEFRAME)' 경고를 내렸다. US-CERT는 타입프레임이 북한이 만든 트로이목마 악성코드라고 명시했다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

또 다른 북한 해킹 조직 스카크러프트 활동도 증가했다. 스카크러프트는 1월에 제로데이 취약점 CVE-2018-4878을 이용해 한국을 집중 공격했다. 제로데이 취약점을 찾아내는 등 사이버 공격 능력이 높아졌다. 이들은 몇 개월간 안드로이드 악성코드를 이용해 스마트폰을 감염시켰다.

국내 표적 사이버 공격도 계속됐다. 이스트시큐리티는 '남북이산가족찾기 전수조사' 문서가 첨부된 해킹 이메일과 '한국 방산업체 망 분리 관련 요청사항'을 사칭한 악성코드 등을 발견했다.

남북이산가족찾기 전수조사 공격은 주로 한국 대북 관련 단체가 표적이다. 정부 기관을 사칭해 공식 업무협조처럼 위장한다. 실행파일(EXE)이나 문서파일(HWP) 등을 직접 보내는 대신 웹 언어(HTML) 파일을 첨부해 마치 보안 이메일 첨부파일처럼 조작한 공격을 시도했다. 특정 방위산업체 망 분리 관련 요청사항처럼 사칭한 문서 공격은 관련 업무 종사자나 업체가 대상이다.

임종인 고려대 정보보호대학원 교수는 “남북 화해 분위기 속에서도 사이버 공격은 줄어들지 않았다”고 지적했다. 이어 “4·27 판문점 선언에서 지상과 해상, 공중을 비롯한 모든 공간에서 군사적 긴장과 충돌의 근원이 되는 일체 적대행위를 전면 중지하기로 했다”면서 “모든 공간에 사이버를 포함하는 것으로 해석하고 북한과 적극 협상해야 한다”고 덧붙였다.

김인순 보안 전문기자 insoon@etnews.com