앵커:미국 법무부가 최근 기소했던 북한 해커가 연루된 해킹조직인 '라자루스'가 다시 활동을 재개한 것으로 알려졌습니다. 이경하 기자가 보도합니다.
한국의 민간 컴퓨터 보안업체인 이스트시큐리티(ESTSecurity)는 정부 차원의 후원을 받는 공격자(State-sponsored Actor)가 수행한 최신 지능형지속위협(APT) 사이버 공격을 확인했다고 23일 밝혔습니다.
그러면서 이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 이미 유사한 공격 사례가 지속적으로 보고되고 있다고 소개했습니다.
이 업체의 문종현 이사는 23일 자유아시아방송(RFA)에 "특정 정부기반의 후원을 받는 것으로 보여지는 사이버 위협조직은 2018년 10월 현재도 지속적인 활동 정황이 포착되고 있다"고 말했습니다.
그러면서 그는 "특히 라자루스(Lazarus)로 알려진 이 공격집단은 민관 첩보수집 활동 이외에도 암호화폐 거래소나 해당 회원 등을 대상으로 해킹시도를 지속할 수 있어 각별한 대비가 필요하다"고 지적했습니다.
북한 해킹조직인 '라자루스'는 지난해 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격의 배후로도 의심받고 있으며, 지난 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.
이스트시큐리티에 따르면 이번 공격은 정상적인 한글 파일처럼 위장해 사이버 공격을 하는 일반적이고 통상적인 수법을 이용했습니다.
특히 이번에 새롭게 발견된 악성코드의 한글 파일명은 '국가핵심인력등록관리제등검토요청(10.16)(김경환변호사).hwp'로 한국의 변호사 이름이 담겨있으며, 이 한글 파일은 2018년 10월 21일 제작됐습니다. (위쪽 사진참고)
이번 공격에서 지난 3월 포착된 '작전명 배틀 크루저'(Operation Battle Cruiser) 공격과 달리 파일명과 확장명은 변경됐지만, 컴퓨터 언어의 일종인 익스포트 함수명을 동일하게 그대로 재활용했습니다.
'라자루스'가 이번 공격에서 사용한 내부 익스포트 함수명은 'battle32.dll', 'battle64.dll'로 3월과 동일한 언어가 그대로 이용됐다는 것입니다.
아울러 익명을 요구한 한 컴퓨터 보안 전문가는 23일 자유아시아방송(RFA)에 3차례 열린 남북 정상회담 이후 남북 관계에 관심이 많아지면서, 최근 한국 통일부 직원을 사칭한 북한 소행의 해킹 이메일도 부쩍 많이 늘었났다며 주의를 당부했습니다. (왼쪽 사진참고)
이 해킹 이메일은 한국 통일부의 한 사무관의 이름과 주소(@unikorea.go.kr)로 탈북민과 대북단체들에 보내졌으며, '북한의 제3차 남북 정상회담 전략'이라는 첨부파일을 열 경우 악성코드를 통해 수신자 계정을 탈취하는 방식입니다.
한편, 지난15일 한국 국회 과학기술정보방송통신위원회 소속 자유한국당 김성태 의원은 남북 화해 분위기와 함께 비핵화 논의가 진행 중인 상황에서도 북한의 해킹 위협이 심각하다며 사이버 공간에서 평화선언을 해야 한다는 주장을 제기하기도 했습니다.