북한의 APT 단체인 라자루스가 화학 분야 조직들을 노리고 있다. 원래는 금융 쪽에 집중하던 곳이었는데, 북한 정부가 추진하는 프로젝트 내용이 바뀐 것으로 보인다. 일부 통신 및 IT 업체들에서도 피해가 발견되고 있다.

[보안뉴스 문가용 기자] 북한의 APT 단체인 라자루스(Lazarus)가 가짜 스카웃 및 구인 메일을 보내 사이버 공격을 실시하고 있다. 이번 캠페인의 대상은 라자루스가 지난 몇 년 동안 꾸준히 노려 왔던 금융 업계가 아니라 화학 분야라고 한다. 일부 IT 기업들에서도 피해 상황이 발견되고 있기는 하다. 이들이 보낸 메일의 첨부 파일을 열 경우 악성 트로이목마 프로그램이 설치된다. 이 멀웨어는 정보를 훔쳐내 공격자들에게 전송하는 기능을 가지고 있다. 이에 대해 보안 업체 시만텍(Symantec)이 상세히 발표했다.


라자루스가 가짜 구인 메일을 활용해 각종 산업들을 노리는 캠페인은 ‘드림 잡 작전(Operation Dream Job)’이라고 불린다. 라자루스는 굉장히 좋은 조건으로 직무나 직위를 제안한다는 내용이 담긴 메일을 표적들에게 보냄으로써 해당 기업이나 조직을 침해해왔다. 최근의 드림 잡 작전은 한국의 화학 기술 업체들을 표적으로 삼고 있는 것으로 보이나, 유럽, 아시아, 미국의 기업과 정부 기관들도 무사하지는 않은 것으로 분석되고 있다. 국방과 정부 기관, 떠오르는 신생 산업이 주요 목표였던 것과 달리 오래된 산업이 다시금 노려지고 있다는 것에 전문가들은 집중하고 있다.

시만텍의 수석 첩보 분석가인 딕 오브라이언(Dick O’Brien)은 “북한 정권은 해외 조직의 지적재산을 노리는 것으로 악명이 높다”며 “국가가 진행하는 엔지니어링 및 기술 분야 프로젝트를 위한 것으로 보인다”고 말한다. “저희가 조사한 모든 공격에서 정보를 빼돌리기 위한 흔적들과 도구들이 발견됐습니다. 결국 라자루스가 원하는 건 정보인 것으로 보입니다. 화학 시설의 파괴나 물리적 피해가 아니라요.”

‘드림 잡 작전’은 다른 보안 업체들이 애플제우스 작전(Operation AppleJeus)이라고 부르기도 한다. 일부 그런 업체들도 라자루스의 최근 활동에 대해 비슷한 내용의 보고서를 발표한 바 있다. 2021년 초반 라자루스는 드림 잡 적전 혹은 애플제우스 작전을 통해 보안 업계의 전문가들을 노리기도 했었다. 올해 들어서는 뉴미디어, 소프트웨어, 인터넷 인프라 분야의 전문가 250여 명이 표적이 된 바 있다. 구글의 아담 웨이드만(Adam Weidemann)은 지난 3월 라자루스가 비슷한 전략으로 암호화폐와 금융 업계를 노린다고 공개했었다.

시만텍은 이 드림 잡 작전이 최소 2020년 8월부터 시작된 것으로 보인다고 추정하고 있다. 다만 현재까지 캠페인이 진행되는 동안 표적들이 꾸준히 바뀌어 오긴 했다고 한다. “드림 잡 작전의 가장 큰 특징은 라자루스가 배후에 있으며, 가짜 이직 제의 피싱 메일이 사용된다는 겁니다. 여기에 혹한 사람들은 악성 파일을 열거나 악성 링크를 클릭하게 되는데요, 이 때 멀웨어에 감염이 됩니다. 표적을 선정해서 악성 메일을 보내고 나서 불과 4일 만에 목적을 달성한 사례도 있습니다.”

이 사례에서 공격자들은 피해자에게 가짜 직무 제안을 보냈다. 악성 첨부 파일이 동봉된 메일 형태였다. 이 파일에는 이니세이프 웹 엑스 클라이언트(INISAFE Web Ex Client) 혹은 매직라인(MagicLine)이라는 소프트웨어 패키지들의 취약점을 익스플로잇 하는 도구가 들어 있었다. 시만텍은 “대중적으로 사용되는 소프트웨어는 아니지만 라자루스가 표적을 삼았단 산업에서는 자주 사용되는 것으로 보인다”고 설명한다. “혹은 자신들이 미리 익스플로잇을 위해 심어둔 소프트웨어일 수도 있습니다.”

그렇다고 이 두 가지 소프트웨어를 사용하지 않으니 괜찮다고 안심할 건 아니라고 시만텍은 경고한다. “라자루스는 표적이 자주 사용하는 소프트웨어를 익스플로잇 할 줄 압니다. 또한 자신들이 익스플로잇 하기 좋은 소프트웨어를 몰래 심기도 하죠. 결국 맞춤형 공격에 능하다는 것인데, 이는 어느 조직이라도 라자루스의 위협으로부터 안전하다고 볼 수 없다는 뜻이 됩니다.”

때문에 시만텍은 “라자루스를 막기 위한 단 하나의 솔루션이란 게 있을 수 없다”고 강조한다. “여러 층위로 보안을 준비함으로써 방어를 강화해야 합니다. 네트워크 탐지 도구, 엔드포인트 보안 솔루션, 다중 인증 등 여러 단계로 보안을 강화하는 것이 중요합니다.”

한편 북한은 화학 무기도 다량 보유한 것으로 알려져 있다. 최근 화학 관련 조직들을 공격한다고 했을 때 가장 먼저 떠오르는 부분이기도 하다고 일부 전문가들은 지적한다.

3줄 요약
1. 북한의 라자루스, 화학 관련 조직들 겨냥해 작전 펼침.
2. 라자루스는 수년 전부터 가짜 구인 및 구직 메일을 통해 산업들을 골고루 노림.
3. 라자루스는 맞춤형 공격에 능하니, 여러 층위로 된 방어막 구성해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>