앵커 :북한의 해킹 조직인 라자루스가 각국 방산업체를 대상으로 한 공격이 늘었다는 보고서가 나왔습니다. 특히 라자루스는 남아메리카와 아프리카의 방산업체를 대상으로 한 공격에 성공했다는 분석도 나왔습니다. 박재우 기자가 보도합니다.
국제 사이버보안업체인 카스퍼스키의 박성수 연구원은 12일‘데스노트 캠페인 추적으로 라자루스 그룹 추적’(Following the Lazarus group by tracking DeathNote campaign) 제목의 보고서를 펴냈습니다.
라자루스는 북한의 대표적인 해킹 조직으로 앞서 지난 2014년 미국 소니픽처스와 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 유포 사건 등에 연루된 것으로 알려졌습니다.
보고서에서 박 연구원은 “북한 라자루스 그룹이 활용한 악성코드 파일 이름이 Dn.dll, Dn64.dll이기 때문에‘데스노트’즉, 죽음의 공책이라고 이름을 지었다”라며“이 악성코드 활용한 사례들을 2018년부터 추적했다”고 설명했습니다.
먼저, 라자루스는 그간 집요하게 암호화폐 관련 사업을 해왔다면서 특정 암호화폐 구매에 대한 설문지, 암호화폐 소개, 비트코인 채굴업체 소개 등 암호화폐 사업과 관련된 미끼문서를 활용했다고 전했습니다.
아울러 최근에는 방위산업체를 대상으로 공격이 늘어났다고 전했습니다.
보고서는 “2022년 3월 우리는 남아메리카의 한 방위산업체가 (북한의) 백도어 프로그램으로 인해 피해를 입었다는 증거를 발견했다”며“2022년 7월에는 라자루스 그룹이 아프리카의 방위산업체를 성공적으로 뚫었다는 것을 발견했다”고 설명했습니다.
그러면서 “특히 (북한 해커들이) 사용한 미끼 문서는 방위산업체 및 외교 서비스와 관련된 직무 기술 문서를 활용했다”면서 미국 방산업체인 록히드마틴, 보잉, 베이시스템으로 위장한 미끼문서를 라자루스가 배포했다고 했습니다.
앞서, 미국의 사이버 보안업체 ‘멀웨어바이트’(Malwarebytes)는 지난해 북한 해킹조직 라자루스가 미국의 방산업체 록히드마틴(Lockheed Martin)을 사칭한 취업 제안 전자우편을 보내 해킹을 시도했다고 밝힌 바 있습니다.
한편, 13일 한미 친선 비영리단체 ‘코리아소사이어티’가 개최한‘북한의 사이버 위협’(The North Korean Cyber Threat)토론회에서 사이버 보안회사 맨디언트(Mandiant)의 마이클 반하트(Michael Barnhart) 수석분석가는 북한 해킹 조직들이 다양한 방식으로 진화하고 있다고 평가했습니다.
반하트 분석가 : 각각의 북한 해킹 조직들이 (들키지 않기 위해) 서로 대화하고 협력하진 않았는데, 코로나19로 고립된 상황이어서 그런지 최근 들어서는 유기적으로 협력하고 도움을 주고 받는 것으로 보입니다.
기자 박재우, 에디터 박정우, 웹팀 이경하