앵커 :북한 연계 해킹 조직인 '라자루스'가 과거 인도(인디아)의 현금자동입출금기(ATM)와 원자력발전소를 공격하는 데 사용한 악성코드로, 최근 유럽과 남미에서도 사이버 공격을 감행한 것으로 나타났습니다. 지정은 기자가 보도합니다.
러시아에 본부를 둔 사이버 보안업체 ‘카스퍼스키’(Kaspersky)는 15일 보고서에서, 북한 연계 해킹 조직인 라자루스가 악성코드 ‘디트랙’(Dtrack)을 이용해 유럽과 남미까지 공격의 범위를 확대하고 있다고 밝혔습니다.
디트랙은 ‘백도어’, 즉 관리자 몰래 컴퓨터와 암호 체계 등에 접근하도록 하는 악성코드로, 키보드 입력 내용이나 컴퓨터 화면 등을 기록해 피해자의 정보를 유출하는 것으로 알려졌습니다.
디트랙은 지난 2019년 인도의 현금자동입출금기(ATM)와 원자력발전소를 대상으로 한 사이버 공격에서 처음 발견됐습니다.
과거 디트랙은 인도와 일본 기업 등을 상대로 한 공격에 사용된 것으로 알려졌지만, 보고서는 최근 인도를 비롯해 독일, 브라질, 이탈리아, 멕시코, 스위스, 사우디아라비아, 튀르키예(터키), 미국 등에서도 디트랙을 이용한 공격이 발생했다고 분석했습니다.
그러면서 이러한 공격이 유럽과 남미 등 더 많은 국가로 확산되고 있는 것이 분명하다며 이러한 추세는 최근 더 자주 목격되고 있다고 설명했습니다.
또 공격 대상 분야에는 교육과 화학 제조, 정부 연구센터, 정책 기관, 정보기술(IT) 서비스 업체, 공공서비스 업체, 통신 부문 등이 포함됐습니다.
보고서는 또 기본적으로 라자루스가 금전적 이익을 얻을 수 있다고 믿는 곳에는 어디든 디트랙을 사용할 수 있다며, 디트랙이 과거 랜섬웨어, 즉 피해자 컴퓨터의 정보를 암호화하고 이를 복구해주는 대가로 금전을 요구하는 사이버 공격에도 사용됐다고 설명했습니다.
특히 이 단체는 지난 8월 보고서에서 라자루스의 하위 조직인 ‘안다리엘’이 지난해 4월 디트랙의 변종을 이용해 일본의 주택 회사에 마우이(Maui)라는 이름의 랜섬웨어를 유포했다고 밝혔습니다.
북한 해커들은 지난해와 올해 미국 캔자스주와 콜로라도주 소재 병원들에도 마우이 랜섬웨어를 유포했습니다.
또 2020년 말부터 지난해 초까지 동일한 유형의 사이버 공격이 인도, 베트남(윁남), 러시아에서도 발견된 것으로 나타났습니다.
한편 보고서는 지난 2019년 처음 디트랙을 발견한 이후 최근까지 이 악성코드에 큰 변화는 없었지만 악성코드를 압축해 암호화하는 방식이 일부 변경됐다고 밝혔습니다.
그러면서 이러한 변화는 라자루스가 여전히 디트랙을 중요한 자산으로 생각한다는 점을 보여준다고 덧붙였습니다.
기자 지정은, 에디터 양성원, 웹팀 김상일