금융보안인증 소프트웨어(SW) 취약점을 악용해 국내 주요 기관 개인용 컴퓨터(PC)를 해킹한 사건이 북한 해커조직 '라자루스' 소행인 것으로 확인됐다.
경찰청 국가수사본부(안보수사국)는 국가정보원·한국인터넷진흥원(KISA) 등 관계기관 합동분석 결과 △공격 인프라 구축 방법 △공격 방식 △악성코드 유사성 등을 토대로, 이번 사건을 라자루스 소행으로 판단했다. 라자루스는 2007년에 창설된 북한 정찰총국 소속 해커 그룹이다. 대형 피해를 낳은 워너크라이 등 바이러스, 랜섬웨어 프로그램을 개발·배포했다.
북한은 2021년 4월 국내 유명 금융보안인증 업체를 해킹해 SW 취약점을 찾아내고, 공격에 활용할 웹 서버와 명령·제어 경유지 등 공격 인프라를 장기간 치밀하게 준비한 것으로 드러났다. 인터넷뱅킹 등 전자금융서비스 이용에 필수적으로 설치되는 SW 취약점을 악용하고, 국민 대다수가 접속하는 언론사 사이트를 악성코드 유포 매개체로 활용했다.
해킹 공격에는 취약 버전 금융보안인증 SW가 설치된 컴퓨터가 특정 언론사 사이트 접속 시 자동으로 악성코드가 설치되는 워터링홀 수법이 사용됐다. 워터링홀은 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 후 피해자가 해당 사이트 접속 시 컴퓨터에 악성코드를 추가로 설치하는 공격방식이다. 해킹된 국내 기관은 61개에 이른다.
경찰청은 북한 해킹 수법이 날로 고도화하고 있는 만큼 추가 피해 예방을 위해 보안인증 SW를 최신 버전으로 업데이트할 것을 당부했다. 지난 14일 기준 취약점에 악용된 금융보안인증 SW 업데이트는 약 80% 수준이다.
경찰청 관계자는 “이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하겠다”면서 “추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어 가겠다”고 밝혔다.
조재학기자 2jh@etnews.com
