앵커: 북한 해커 조직이 사이버상에서 새로운 수법으로 '공급망 공격'을 감행하고 있다는 러시아 보안업체의 보고서가 공개됐습니다. 이경하 기자가 보도합니다.
러시아에 본부를 둔 다국적 기업인 '카스퍼스키'(Kaspersky)는 26일 공개한 올해 '3분기 지능형지속위협 보고서'(APT trends report Q3 2021)에서 북한의 대표적인 해킹조직으로 알져진 '라자루스'가 최근 새로운 사이버 공격 수법으로 '공급망 공격'을 감행하고 있다고 밝혔습니다.
'라자루스'는 2017년 5월, 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.
보고서에 따르면 '라자루스'는 올해 5월 북유럽의 라트비아 정보통신 업체와 6월 한국 연구기관을 겨냥해 '공급망 공격'을 위한 신종 해킹 도구(tool)를 사용했습니다.
'공급망 공격'(Supply Chain Attack)은 정상 소프트웨어를 개발, 배포하는 과정에서 취약한 서버, 개발자 컴퓨터 등에 침투해 소프트웨어를 변조한 후 악성코드를 유포하는 사이버 공격 수법입니다.
이 수법은 정상적이고 일상적인 컴퓨터 체계 개발 작업에 숨어들기 때문에 피해 규모와 범위를 가늠하기 어렵고, 표적기관의 보안 시스템이 탐지하기 이전에 이루어지기 때문에 위험성이 더욱 높습니다.
'라자루스'가 사용한 신종 해킹 도구는 '블라인딩캔 원격가동 트로이목마'(BlindingCan RAT)로 불리는 북한 악성코드인 '블라이딩캔'을 개량한 변종인 것으로 파악됐습니다.
'블라이딩캔'은 지난해 8월 미 연방수사국(FBI)과 국토안보부 산하 사이버안보·기간시설안보국(CISA)이 상대방 컴퓨터에 잠입해 정보를 유출하거나 시스템을 손상할 수 있는 신형 악성코드라고 분석한 바 있습니다.
특히 당시 연방수사국에 따르면 '블라인딩캔'은 원격 접속 방식의 악성 소프트웨어인 변종 멀웨어로, '라자루스'가 주로 사용하는 것으로 알려졌습니다.
특히 이번 보고서에서 '카스퍼스키'는 "우리 조사 결과를 보면 '라자루스'가 공급망 공격 역량을 구축하는 정황이 나타났다"고 지적했습니다. (Our investigation revealed indications that point to Lazarus building supply-chain attack capabilities.)
그러면서 이 업체는 한국 연구기관의 감염 사례가 한국의 적법한 보안 소프트웨어에서 비롯된 것으로 조사됐다고 밝혔습니다. (We found that the infection chain stemmed from legitimate South Korean security software executing a malicious payload.)
한편, 미국 국무부 네드 프라이스 대변인은 지난 25일 정례기자설명회에서 사이버 공격에 대응하기 위한 '사이버·디지털 정책 부서'(Bureau of Cyberspace and Digital Policy)를 국무부에 신설한다는 계획을 공개했습니다.
프라이스 대변인: 의회 측과 협의가 진행 중이며, 상원에서 승인한 특사가 이끄는 '사이버·디지털 정책 부서'를 신설할 계획입니다. 이 부서는 국제 사이버 공간 안보와 국제 디지털 정책, 그리고 디지털 자유라는 세 가지 핵심 분야에 초점을 맞출 것입니다.
이 부서와 관련해 미 민주주의수호재단(FDD)의 데이비드 맥스웰 선임연구원은 지난 26일 자유아시아방송(RFA)에 북한의 사이버 위협에 대한 미국의 억지력을 늘리는 조치라며 긍정적으로 평가했습니다.
기자 이경하, 에디터 양성원, 웹팀 김상일
0:00 / 0:00