앵커: 북한 해커 조직이 남아프리카 공화국 소재 화물 물류회사를 대상으로 새로운 수법의 사이버 공격을 가했다는 유럽 보안업체의 연구보고서가 공개됐습니다. 이경하 기자가 보도합니다.
유럽의 다국적정보기술 보안업체 '이셋'(ESET)은 9일 '새로운 라자루스 백도어 비비바 공격 경계'(Watch out for Vyveva, new Lazarus backdoor)란 보고서를 공개했습니다.
북한 해킹 조직인 라자루스는 2017년 5월, 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 '워너크라이' 랜섬웨어 공격의 배후로 알려져 있으며, 지난 2018년 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직입니다.
보고서는 라자루스가 '비비바'(Vyveva)로 명명된 신종 백도어 악성코드(Backdoor Malware)를 설치해, 남아프리카공화국 화물 물류 회사의 컴퓨터 통신망에 불법으로 접근해 사이버 공격을 가했다고 밝혔습니다.
'뒷문'의 의미를 담고 있는 '백도어'란 미리 설치해 둔 악성코드를 통해 허가받지 않은 사용자, 즉 해커들이 관리자 몰래 관리자 권한을 획득하는 해킹 공격 기법을 말합니다.
특히 이 업체는 평소에 라자루스가 금융, 군사, 그리고 대북 관련 개인 및 기관을 대상으로 사이버 공격을 감행했지만, 이번 사이버 공격은 남아공의 화물 물류회사를 대상으로 이뤄져 매우 이례적이라고 평가했습니다.
그러면서 북한이 이번 사이버 공격을 통해 화물 선박 등의 정보를 취득해, 불법 행위를 저지르려고 했을 가능성도 있다고 추정했습니다.
이어 이 업체는 '비비바'가 지난해 6월에 처음 사용된 것으로 보이며 남아공 화물 물류회사의 컴퓨터 두 대가 감염됐지만, 현재 '비비바'가 남아공 이외에 다른 국가나 회사들을 대상으로 한 공격에도 사용되고 있을 가능성이 높다고 분석했습니다.
특히 이 업체는 '비비바'가 기존의 라자루스의 악성코드 유형과 매우 유사하다면서, 이번 남아공을 대상으로 한 사이버 공격의 배후가 북한 해커 조직 라자루스라고 강조했습니다.
또 이 업체는 '비비바'가 광범위한 사이버 도청 기능을 제공하기 때문에 북한 해커가 감염된 시스템에서 파일을 수집해 각종 정보를 유출할 수 있다고 지적했습니다.
이 업체에 따르면 '비비바'를 통해 매 3분 마다 사용자의 컴퓨터가 북한 해커 컴퓨터 명령 서버에 연결돼 사용자의 컴퓨터 활동이 추적되며, 피해자의 연결망(network) 내 모든 시스템에 악성코드가 퍼지게 됩니다.
이와 관련해, 미국 중앙정보국(CIA) 분석관을 지낸 수 김(Soo Kim) 미국 랜드연구소 정책분석관은 이날 자유아시아방송(RFA)에 이제 북한의 사이버 공격 대상이 은행과 금융 기관 뿐만이 아니라, 화물 물류회사 등 공격 대상이 매우 다양해지고 복잡해졌다고 지적했습니다.
그러면서 더 이상 북한의 사이버 공격에 영향을 받지 않는 산업과 기관이 거의 없다고 지적했습니다.
특히 그는 모든 산업들이 인터넷으로 연결됐기 때문에 북한의 사이버 공격 활동은 수그러들지 않고 더 증가할 것이라고 분석했습니다.
그러면서 북한이 사이버 공격을 일으키는 동기는 코로나19, 대북제재, 자연재해로 인한 어려움, 원유 공급 문제 등 경제적인 압박을 받고 있기 때문이라고 지적했습니다.
미국 워싱턴DC 민간 연구기관인 민주주의수호재단(FDD)의 매튜 하 연구원도 이날 자유아시아방송(RFA)에 북한 해커들이 남아공의 화물 물류회사를 겨냥한 것은 북한의 사이버 공격 도구, 악성프로그램 등 기술 능력이 정교해졌음을 의미한다고 지적했습니다.
하 연구원: 이번 남아공 사이버 공격은 백도어를 이용해 자료를 탈취하고, 악성코드를 설치하는 등 북한의 사이버 공격 행태와 매우 유사합니다.
이런 가운데, 한국의 민간 보업업체인 안랩 시큐리티대응센터(ASEC)는 9일 최근 대북관련 본문 내용을 담고 있는 악성 문서 파일 유포가 증가하고 있다고 밝혔습니다.
이 업체는 이날 공개한 '대북관련 질의서 제목의 한글문서(HWP) 유포'란 보고서에서 대북관련 질의서 내용의 악성 코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착했다고 밝혔습니다.
이 업체에 따르면 한국의 공영 방송사인 KBS 가 지난해 12월 15일 북한 관련 토론 질문지를 작성한 것처럼 위장한 문서에 악성코드가 담겨 유포되고 있습니다.(사진참고)
그러면서 이 업체는 최근 북한과 관련된 문서 내용을 포함하고 있는 다양한 문서가 유포되고 있다면서, 북한 관련 업무를 수행하는 사용자들이 대북 관련 질의서를 위장한 문서 등에 속아 피해를 입지 않도록 주의가 필요하다고 강조했습니다.
하지만 이 업체는 이번 사이버 공격의 배후를 특정하지는 않았습니다.