전 세계 금융권 공략하는 라자루스, 최근 범죄 시장에서의 활동 폭 넓혀
국가 지원 받는 해커들이 범죄 시장에서 인재나 신기술 차용하는 사례 있지만
직접 범죄 시장에 뛰어들어 일반 사이버 범죄자들과 같은 사업하는 경우 없어

[보안뉴스 문가용 기자] 미국 국토안보부 산하의 국가사이버인지시스템(National Cyber Awareness System)이 “북한이 새로운 사이버 공격을 실시하고 있다”는 내용의 경고문을 발표했다.


경고문에 의하면 북한의 해커들은 미국 및 서양 금융 조직들을 겨냥해 새로운 공격 캠페인을 실시하고 있다고 한다. 사이버 공격을 통해 ‘현금 벌이’를 했던 것에 더해, 자신들의 공격 능력과 인프라를 제3자에게 대여해주는 사업을 통해 모자란 국고를 채우고 있다는 것. 한 마디로 사이버 공격을 근거로 한 사업 행위를 확장한 것이다.

하지만 보안 업체 파이어아이(FireEye)의 수석 첩보 분석가인 존 헐트퀴스트(John Hultquist)는 “북한의 해커들이 소프트웨어 개발 등의 프리랜서 활동을 벌여온 것은 맞으나, 누군가를 대신해 공격을 대행하고 침투를 실시하는 것에 대해서는 아직 명확한 증거가 없는 상태”라고 반박했다.

그러면서 헐트퀴스트는 “국가의 지원을 받는 고급 해커들이 사이버 범죄 시장에 들어가 유능한 사람을 채용하거나 기술자들을 임시로 공유하는 건 흔히 있는 일이지만, 반대로 자신들이 범죄 시장에 투입되어 실제 사이버 범죄 행위를 대행하는 일은 한 번도 본 적이 없다”고 말했다.

북한의 해커들이 금융 기관을 노리고 사이버 공격을 실시한 건 새로운 일이 아니다. 그럼에도 이번에 공식 경고가 정부 기관으로부터 나온 건 왜일까? 새로운 유형의 캠페인 혹은 사이버 해킹 활동이 탐지되었기 때문이다. 즉 라자루스(Lazarus)라고 알려진 북한 해킹 단체가 돈을 벌기 위해 카멜레온처럼 변하는 현상 자체를 알리기 위해서인 것으로 보인다.

보안 업체 센티넬랩스(SentinelLabs)의 수장인 비탈리 크레메즈(Vitali Kremez)는 “북한 정부의 지원을 받고 있는 라자루스라는 그룹은 사이버 범죄자들이 사용하는 프록시나 사이버 범죄자들이 이미 확보한 접근 권한을 활용해 세계의 금융 조직들을 공격하고 있다”고 이번 경고문의 주장을 거들었다. “이미 앵커(Anchor)라는 공격용 프레임워크를 차용한 사례도 있지요.”

앵커는 트릭봇(TrickBot)이라는 유명 멀웨어를 운영하는 범죄 단체가 만든 것으로 알려진 공격 도구 중 하나로, 타 범죄 단체에 대여해주는 방식으로 운영되고 있다. 라자루스가 앵커를 사용했다는 건, 트릭봇 운영자와 북한 정부 간 파트너십이 있다는 뜻이 된다.

크레메즈는 “라자루스가 사이버 범죄 시장에서 유행하는 기술들을 자신들의 공격 수단으로서 활용하는 사례는 계속해서 늘어날 전망”이라고 예측한다. “결국 이들의 최종 목표는 배가 고플 대로 고파진 북한 정권을 금전적으로 지원하는 것입니다. 수단과 방법을 가릴 때가 아닌 것이죠. 세계 금융 시장은 라자루스를 계속해서 경계해야 할 것입니다.”

미국 국토안보부는 이번 경고문을 통해 “북한은 과거 소니 엔터테인먼트를 공격했었고, 워너크라이(WannaCry) 랜섬웨어를 전 세계에 퍼트렸으며, 각종 암호화폐 거래소에서 어마어마한 금액의 돈을 훔쳐낸 바 있다”고 밝혔다.

3줄 요약
1. 미국 국토안보부, 북한 라자루스가 새로운 공격 실시하고 있다는 경고문 발표.
2. 돈 벌이에 혈안이 된 라자루스가 공격 대행, 인프라 대여 등의 서비스를 범죄 시장에 제공하고 있다는 내용.
3. 보안 업계의 반응은 ‘증거가 불분명하다’, ‘라자루스면 그럴 수 있다’로 갈림.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>