앵커 :올해 2월과 7월 사이 북한 해킹 조직이 정보를 탈취하기 위해 미국과 캐나다, 일본 에너지 기업들을 공격했다는 분석이 제기됐습니다. 조진우 기자가 보도합니다.
미국의 보안업체 시스코 탈로스(Cisco Talos)는 8일 보고서(Lazarus and the rale of three RATs)를 통해 북한 연계 해킹 조직인 ‘라자루스’(Lazarus)가 올해 2월부터 7월 사이에 미국과 캐나다, 일본의 에너지 기업들을 공격했다고 밝혔습니다.
시스코 탈로스는 라자루스가 인터넷 서버용 소프트웨어 ‘로그4j’(Log4j)의 취약점을 이용해 이들 업체들의 보안 시스템에 침입해 악성코드를 배포했다고 밝혔습니다.
다만 라자루스의 공격 대상이 된 기업들의 이름과 구체적인 피해 상황 등은 알려지지 않았습니다.
‘로그4j’는 웹서비스를 동작하는 과정에서 발생하는 모든 기록, 즉 ‘로그’를 남기기 위해 필요한 기능입니다.
미국 오픈소스 비영리재단 아파치 소프트웨어가 컴퓨터 프로그래밍 언어의 일종인 자바(Java) 언어를 기반으로 만들었습니다.
오류나 이상 징후를 검토하기 위해선 꼭 필요한 기능인만큼 일반 기업은 물론, 정부 등에서 사용되는 거의 모든 컴퓨터 시스템에 적용돼 있는 것으로 알려졌습니다.
하지만 이 로그4j는 보안 관련 취약점이 발견되면서 미국 국토안보부(DHS) 산하 사이버보안 기반시설 안보국과 미 연방수사국(FBI), 미 국가정보국(NSA)이 지난해 12월 합동 경보를 내리기도 했습니다.
시스코 탈로스는 보고서를 통해 라자루스가 이번 공격에서 신종 악성 프로그램인 매직 트로이목마(MagicRAT)을 사용한 것을 확인했다고 밝혔습니다.
북한 해커들은 이외에도 기존에 알려졌던 브이싱글(Vsingle)과 야마봇(YamaBot) 등 3개의 악성 프로그램을 이용한 것으로 나타났습니다.
시스코 탈로스의 분석가들은 북한 해커들이 김정은 정권을 위해 온갖 악의적인 행동을 하고 있다면서 “이번 공격의 주요 목적은 이들 에너지 회사들의 정보와 영업비밀 등을 탈취하는 것”이라고 밝혔습니다.
라자루스는 북한 정찰총국과 연계된 것으로 추정되는 해킹 단체로, 소니픽처스 해킹, 방글라데시 현금 탈취 사건, 워너크라이 랜섬웨어 사건 등의 주요 배후로 거론돼 왔습니다.
가장 최근에는 지난 4월 미 연방수사국이 블록체인 비디오 게임 ‘액시 인피니티’에 대한 6억 달러 이상의 암호화폐 해킹 공격 배후로 라자루스를 지목했습니다.
미국 정부는 지난 2019년 북한의 무기 프로그램 개발을 지원하기 위해 사이버 공격을 지속하고 있는 라자루스를 제재 명단에 올리기도 했습니다.
또한 지난 7월에는 북한 해커들의 사이버 공격에 대응하기 위해1,000만 달러란 거액의 포상금을 걸고 제보를 독려했습니다.
한편 미국의 블록체인 분석업체 체이널리시스(Chainalysis)는 8일 보고서를 통해 미 당국이 올해 라자루스가 액시 인피티니에서 갈취한 암호화폐 중 3천만 달러 이상을 회수했다고 밝혔습니다.
기자 조진우, 에디터 양성원, 웹팀 김상일