라자루스 조직, 미국·이스라엘 등 방산업체 해킹 공격 남발
24일 보안 업계에 따르면 북한 해킹 조직이 미국, 이스라엘 등의 방위산업체를 공격한 것으로 나타났다. 미국 국토안보부 산하 사이버·인프라안보국(CISA)과 연방수사국(FBI)은 최근 북한 사이버공격에 관한 악성코드 분석 보고서를 발표했다. 이에 따르면 `드림잡(Dream Job)`이라는 캠페인을 활용해 구직 공고를 사칭한 `블라인딩캔`이라는 악성코드를 유포했다.
이 악성코드 공격은 `히든코브라` 조직이 주도한 것으로 연초 국방과 에너지 핵심 기술 정보를 수집하기 위해 미국 정부 하청업체를 해킹했다. 히든코브라는 북한 정부가 지원하는 해킹조직으로 알려진 `라자루스`라고도 불린다. 드림잡 캠페인은 이스라엘과 전세계 여러 나라의 군사 및 국방기관 수십 군데를 노리고 진행됐으며, 최근 이스라엘 국방부도 라자루스 조직의 해킹 공격을 막아냈다고 발표한 바 있다.
문종현 이스트시큐리티 시큐리티대응센터(ESRC)장은 “미국에서는 록히드마틴이나 보잉 등이 주로 공격을 받았고, 영국의 방산기업 BAE시스템즈 등 항공우주 기술업체들이 주로 공격에 노출됐다”며 “사실 북한 해킹 조직의 공격은 연초부터 일어났고 민간 보안업체들이 계속 지적해 왔던 부분인데, 뒤늦게 이를 정리한 보고서가 이슈화되면서 주목을 받은 것”이라고 말했다.
라자루스는 북한 정찰총국 소속의 해킹 조직으로 추정되며, 국내에서는 지난 2009년 청와대 홈페이지 등이 해킹된 디도스 공격, 2011년 농협 전산망 해킹 등의 공격을 주도한 것으로 알려졌다. 올 상반기에도 국내서 △블록체인 소프트웨어 개발 계약서 △한미관계와 외교안보 △항공우주기업 채용 관련 문서 △00광역시 코로나 바이러스 대응 △성착취물 유포사건 출석통지서 등을 사칭한 공격으로 기승을 부렸다.
국내 방산분야를 노린 공격은 `탈륨`이라고도 불리는 `김수키` 조직이 매일 일상적으로 행하고 있다는 설명이다. 문 센터장은 “대부분의 기관이나 기업에서 공식적으로 발표를 못하는 상황일 뿐이지, 공개되지 않은 공격은 너무 많다”며 “이날도 국내를 노린 탈륨의 공격이 발견돼 공격기법 등을 분석하고 있다”고 강조했다.
공격기법 고도화…“민관 공동 대응체계 마련 시급”
북한 해킹 조직의 공격은 앞으로도 끊이지 않으면서 공격기법이 점점 고도화될 것으로 예상돼 체계적인 대응이 필요해 보인다. 문 센터장은 “최근에는 공격 자체를 느끼지 못할 정도로 은밀하게 공격을 해오고 있다”며 “악성메일도 무작위로 유포하는 것이 아니라 처음에는 정상적인 메일을 보내 회신이 오는 사람들만 추려 2차, 3차 공격을 가하는 방식으로 지능화되고 있다”고 설명했다.
그는 “해외와 국내 대상의 해킹 조직을 전담해서 운용할 것으로 예상되는 등 우리나라는 지능형지속위협(APT) 공격의 중심에 서 있는데, 국민들에게 알려진 공격은 빙산의 일각이라 위험성을 무시하고 불감증에 사로잡힐 우려가 있다”며 “민관이 함께 공격에 대응할 수 있는 조직 체계를 지금이라도 갖춰야 한다”고 촉구했다.