'김수키'와 '라자루스' 등 북한 해킹조직이 활동량과 덩치를 키운 것으로 나타났다. 보안 전문가는 공격이 진화하는 만큼 거시적 방어 전략을 수립하라고 조언한다.
박성수 카스퍼스키 책임연구원은 27일 “김수키와 라자루스 활동량이 지난해 높게 조사됐다”면서 “과거에 비해 덩치도 매우 커진 상황”이라고 말했다.
카스퍼스키 조사에 따르면 지난해 가장 활동량이 많았던 지능형지속위협(APT) 조직은 라자루스였으며 정부, 은행, 금융기관이 가장 많은 공격을 받았다. 한국은 홍콩, 일본, 중국 등 가장 많은 공격을 받은 세계 12개 국가에 포함됐다.
라자루스와 김수키는 한국어 기반 APT 조직으로 북한 정부가 지원하는 것으로 알려졌다. 이들 조직은 규모를 키우는 가운데 내부에 세부 그룹(클러스터)까지 구성한 것으로 분석된다.
박 책임연구원은 “동일한 악성코드와 테크닉을 활용하는 단위를 클러스터라고 한다”면서 “클러스터마다 특징이 있고 정보 수집 등 이어지는 공격이 다르기 때문에 최대한 구분하려는 것”이라고 설명했다.
김수키는 한국 정부와 외교 기관, 대북 싱크탱크, 탈북자, 암호화폐 분야를 집중 공격한다. 김수키 클러스터인 '베이비샤크'는 다단계에 걸쳐 감염을 추진하는 멀티 스테이지 공격을 수행한다. 지난해 12월 회원 19만명을 보유한 국내 주식정보업체 해킹 사건도 이들 소행으로 지목된다.
박 책임연구원은 “김수키는 지난해 상당한 양의 인프라를 만들었다”면서 “여러 클러스터로 공격하고 코로나19 등 시기적절한 사회공학적 공격을 펼친다”고 경고했다.
라자루스 역시 멀티 스테이지 공격을 수행하면서 사이버 첩보 활동을 지속하고 있다. 최근까지 암호화폐 거래소를 공격한 사실도 확인됐다.
라자루스 클러스터 가운데 '북코드' 클러스터는 국내 소프트웨어(SW) 업체를 집중 공격하기도 했다. 2019년 4월부터 세 차례에 걸쳐 이 업체를 공격했으며 2020년 3월에는 감염에 성공했다.
라자루스는 망분리 조치를 한 업체 해킹도 성공했다. 박 책임연구원은 “이 업체는 인터넷존과 인트라넷존을 라우터로 분리했지만 네트워크 관리자에게 양쪽 망 접근 권한이 있었다”면서 “관리자 편의 때문에 망분리가 무너졌던 사례로 망분리 역시 허점이 있을 수밖에 없다”고 지적했다.
박 책임연구원은 “라자루스는 최근 국방, 방산, 보안 연구원을 주요 타깃으로 공격하고 있다”면서 “최근 사이버 범죄조직과 경계가 모호해지는 추세”라고 말했다. 이어 “네트워크 장비에 대한 공격이 지속되는 가운데 많은 돈이 모이는 곳, 코로나19 백신 배포를 위한 공급망 공격이 증가할 것”이라고 내다봤다.
인텔리전스를 보다 넓은 범위에서 고려해야 한다고도 권고했다.
박 책임연구원은 “자신이 속한 기업 또는 기관 요구사항을 바탕으로 필요한 인텔리전스 수준을 파악해야 한다”면서 “요구사항이 계속 변화하기 때문에 내부 우선순위를 정하는 과정을 지속 수행해야 한다”고 말했다.
그는 “너무 많은 공격이 정교하게 진행되기 때문에 공격에 선제 대응하기는 불가능하다”면서 “침해지표(IoC) 이상으로 최근 동향 등을 고려해 큰 틀에서 방어 전략을 수립해야 할 것”이라고 조언했다.
오다인기자 ohdain@etnews.com