또 北해커 소행이었다…보안인증 SW·언론사 해킹

[이데일리 이소현 기자] 국내 금융보안인증 프로그램과 언론사 사이트 해킹을 시도한 것이 북한 해킹조직의 소행인 것으로 드러났다.

보안인증프로그램 취약점 악용한 해킹사건 개요도(자료=경찰청)

경찰청 안보수사국은 작년 11월부터 금융보안인증 소프트웨어(SW) 취약점을 악용해 공격한 사건을 수사한 결과 북한 정찰총국이 배후인 것으로 알려진 ‘라자루스’ 해킹조직의 소행으로 확인했다고 18일 밝혔다.

라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 북한 해킹조직으로 주로 금융망을 해킹해 금전을 탈취하는 행태를 보인다. 정부는 지난 2월10일 사이버 분야 대북 독자제재 대상으로 라자루스를 지정했다.

라자루스는 해킹 공격을 위해 1년 이상 장기간 치밀하게 준비했다는 게 경찰 측 설명이다. 라자루스는 2021년 4월 국내 금융보안인증 업체인 이니텍을 해킹, 전자금융·공공부문 인증서 관련 PC용 프로그램인 이니세이프의 취약점을 찾아내 공격에 활용할 웹 서버와 명령·제어 경유지 등 공격 인프라를 준비했다.

해킹 피해 규모는 국내 61개 기관의 총 207대 개인용컴퓨터(PC)다. 피해 기관 중에는 국내 언론사 8곳, 의료·바이오업체 4곳, 방산업체 3곳, 국가공무기관 3곳 등이 포함됐다. 경찰은 작년 6월 첫 피해가 발생한 것으로 확인했다.

작년 10월 말 한국인터넷진흥원(KISA)의 신고로 첩보를 입수한 경찰은 같은 해 11월 초 수사에 착수해 ‘워터링홀(Watering hole)’ 해킹 수법을 밝혀냈다. 워터링홀은 방문 가능성이 크거나 많이 사용하는 사이트를 감염시킨 후 피해자가 해당 사이트에 접속 시 컴퓨터에 악성코드를 추가로 설치하는 공격 방식이다. 실제 경찰은 취약 버전의 금융보안인증 소프트웨어가 설치된 컴퓨터가 특정 언론사 사이트에 접속하자 100분의 1초 만에 악성코드 유포서버로 연결해 자동으로 악성코드가 설치되는 것을 확인했다.

특히 특정 대상을 타깃(목표)으로한 정교한 해킹 기술을 범국민적으로 확대해 사용한 점이 눈에 띈다. 박현준 경찰청 안보수사국 첨단안보수사계장은 “워터링홀은 타깃형 공격기법인데 그 취약점 자체를 국내 1000만대 이상의 컴퓨터에 설치된 필수적으로 설치하는 금융보안인증 프로그램에 접목해 범국민을 대상으로 했다”며 “관리자 권한 탈취는 물론 내부 시스템을 장악해 ‘좀비PC’로 활용하거나 대규모 ‘디도스’ 공격을 준비했을 가능성도 배제할 수 없다”고 말했다.

경찰은 북한의 해킹 수법이 날로 고도화되고 있다면서 추가적인 피해 예방을 위해 보안인증 프로그램을 최신 버전으로 갱신해달라고 당부했다. 지난 14일 기준 해당 프로그램 업데이트는 약 80% 수준이다.

경찰청은 이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하는 한편 추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어나갈 계획이다.