보안프로그램 취약점 및 언론사 사이트 해킹 통한 ‘워터링홀’ 공격 기법 확인
추가 피해 예방 위해 최신 금융보안인증 프로그램 업데이트 중요
[보안뉴스 이소미 기자] 북한 해킹 조직 ‘라자루스(Lazarus)’가 금융보안인증 소프트웨어 취약점을 악용해 지난 6월 경부터 언론사 사이트 등을 해킹한 정황이 드러났다.
[이미지=utoimage]
이번 사건은 북한이 국내 인터넷뱅킹 등을 이용할 수 있는 금융보안인증 프로그램의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 사이트를 악성코드 유포 매개체로 활용해 대규모 피해가 발생할 수 있었던 해킹사건이다.
경찰청 국가수사본부(안보수사국)는 지난해 11월부터 수사한 결과, 국내 언론사 8곳을 포함한 61개 기관이 감염된 사실을 확인했고 국정원·한국인터넷진흥원(KISA) 등 관계기관 합동 분석을 통해 △공격 인프라 구축 방법 △워터링홀 및 소프트웨어 취약점을 악용한 공격 방식 △악성코드 유사성 등을 토대로 북한 해킹 그룹 ‘라자루스’의 정체를 밝혀냈다.
‘라자루스’는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건,2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 北 해킹조직으로, 정부는 사이버 분야 대북 독자제재 대상으로 ‘라자루스’ 해킹조직을 지정하기도 했다.
다행히 사전에 빠른 조치를 통해 감염 피해 외에 자료 유출이나 금전 탈취와 같은 추가 피해 사실은 없는 것으로 파악됐다.
이와 관련해 지난 3월 30일 정부 관계기관은 국민들에게 관련 보안 취약점을 공개하고 신속한 금융보안인증 프로그램 업데이트를 당부하는 한편, 발견된 악성코드를 백신 프로그램에 반영하고 피해업체에 대한 보안조치를 완료하는 등 추가적인 피해를 방지한 바 있다.
▲이번 사건 개요도[자료=경찰청]
북한의 해킹 정황을 살펴보면 지난해 4월, 국내 유명 금융보안인증 업체를 해킹한 후, 소프트웨어 취약점을 악용해 공격에 활용할 웹 서버와 명령·제어 경유지 등 공격 인프라를 장기간 치밀하게 준비한 것으로 확인됐다. 또한, 취약한 버전의 금융보안인증 소프트웨어가 설치된 PC의 사용자가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드가 설치되는 워터링홀 수법을 이용했다. 이를 통해 국내 61개 기관이 해킹된 것으로 확인했다.
경찰청 관계자는 국내 1,000만 대 이상의 PC에 설치된 금융보안인증 프로그램의 취약점을 활용해 대규모 사이버 공격을 준비했을 가능성도 배제할 수 없지만, 관계기관 합동대응을 통해 이를 사전에 확인하고 차단한 사례라고 밝혔다.
북한의 해킹 수법이 날로 고도화되고 있는 만큼, 추가적인 피해 예방을 위해 보안인증 프로그램을 최신 버전으로 업데이트해 줄 것을 다시 한번 강조했다.
이어 이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하는 한편, 추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어나갈 계획이라고 밝혔다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>