앵커 :북한 해킹조직인 라자루스가 올해 초 한국의 화학기업에 대해 사이버 공격을 감행했다는 미국 보안업체의 지적이 나왔습니다. 서재덕 기자가 보도합니다.
미국 반도체업체 ‘브로드컴’ 소속 사이버보안 업체 ‘시만텍’은 14일 북한 해킹조직 ‘라자루스’가 지난 1월 한국에 기반을 둔 다수의 화학부문 기업들(organizations)을 대상으로 사이버 첩보활동(espionage campaign)을 벌이고 있는 것을 포착했다고 밝혔습니다.
시만텍의 ‘위협사냥팀’(Threat Hunter Team)은 이날 자체 블로그에 올린 ‘화학부문을 겨냥한 라자루스’란 제목의 보고서를 통해 이번 사이버 공격 대상 가운데 일부는 IT(정보통신) 기업들이긴 하지만 이는 화학기업에 접근하기 위한 수단일 가능성이 높다고 설명했습니다.
보고서는 라자루스가 화학 분야에서 북한의 독자적인 연구와 개발을 촉진시키기 위해 관련 분야의 기업들을 대상으로 지적재산권을 탈취하려는 것일 수 있다고 진단했습니다.
그러면서 라자루스가 이번 공격에 사용한 수법은 ‘드림잡 작전’(Operation Dream Job)으로 보인다며 과거 ‘드림잡 작전’에서 확인된 파일명과 파일 해시(hash), 도구(tool)들이 포착됐다고 말했습니다.
‘드림잡 작전’이란 라자루스가 구인공고를 미끼로 전자우편 등의 수신자들이 악성파일이 첨부된 파일이나 링크를 클릭하도록 유인해 북한의 첩보 활동에 사용되는 멀웨어, 즉 악성코드가 설치되도록 하는 사이버 공격 수법입니다.
앞서 영국에 기반을 둔 국제 보안회사 ‘클리어스카이’(ClearSky)가 지난 2020년 8월 미국 주요 항공·방위산업체의 구인공고를 미끼로 한 라자루스의 사이버 공격 행태를 처음으로 확인해 ‘드림잡 작전’(Operation Dream Job)으로 명명한 바 있습니다.
보고서는 라자루스가 지난 2020년 8월부터 ‘드림잡 작전’을 지속하고 있다는 건 해당 수법이 충분히 성공적이라는 점을 시사하는 것이라며, 이 같은 공격에 대해 관련 기업들이 경계하고 적절한 보안을 모색할 필요가 있다고 강조했습니다.
북한의 정찰총국 산하 해킹조직으로 추정되는 라자루스는 지난 2014년 미국 소니픽처스와 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 유포 사건 등에 연루된 것으로 알려져 있습니다.
앞서 구글 위협분석그룹(TAG)도 지난달 24일 ‘북한 위협에 대한 대처’라는 보고서에서 북한 당국과 연계된 해커들이 지난 1월부터 한 달 동안 ‘드림잡 작전’ 수법으로 미국 내 언론과 정보통신 분야 종사자들을 공격했다고 밝혔습니다.
해당 보고서에 따르면 북한 해커들은 미국 내 언론사와 인터넷 주소 등록 회사, 웹 호스팅 회사, 소프트웨어 회사 등 10곳의 기업에서 일하는 250여명의 직원에게 디즈니나 구글 등 미국 대기업의 인사 담당자를 사칭해 악성코드가 담긴 링크가 포함된 전자우편을 보냈습니다.
기자 서재덕, 에디터 양성원, 웹팀 이경하