지난 9월에는 제약 회사를 공격한 라자루스, 10월에는 국가 기관을 공격
한국의 소프트웨어 업체 공격했을 때와 동일한 멀웨어 나와...데이터에 혈안된 라자루스

[보안뉴스 문가용 기자] 보안 전문가들이 북한의 해킹 단체인 라자루스(Lazarus)의 흔적을 발견했다. 이번에는 코로나 19와 관련된 조직들에서다. 라자루스는 보통 금전적인 목적을 달성하기 위해 공격을 감행하는 것으로 알려져 있는데 최근 들어 코로나 관련 정보에도 깊은 관심을 보이고 있다.


보안 업체 카스퍼스키(Kaspersky)는 “지난 9월 말 한 제약 업체를 겨냥한 라자루스의 공격이 발견됐다”며 “이 사건을 수사하는 중에 라자루스가 코로나 관련 대응을 담당한 정부 주무 기관을 공격했다는 사실도 알아냈다”고 밝혔다. 이 두 가지 공격은 일어난 시기도 조금 다르고, 공격에 활용된 전략도 다르지만 같은 라자루스의 행위라는 데에 카스퍼스키는 크게 자신하고 있다.

언급된 한 의료 주무 기관의 경우 10월 27일에 공격이 있었고, 윈도 서버 두 개가 침해당했다. 최초 침투 경로는 아직 밝혀지지 않았다. 공격자들은 알 수 없는 방식으로 서버를 침해한 뒤 더블유에이전트(wAgent)라는 고급 멀웨어 클러스터를 심었다. 이 멀웨어는 메모리 내에서만 작동을 하며, 추가 페이로드를 원격 서버로부터 가져와 설치할 수도 있다. 공격자들은 피해자의 장비에서 더블류에이전트를 실행하며 추가 페이로드를 다운로드 받아 공격 지속성을 먼저 확보했다.

지속적인 공격의 발판이 마련된 후에는 최종 페이로드를 원격 서버에서 가져와 이를 피해자 시스템의 메모리 내에서 로딩시킨다고 한다. 정보를 캐내가는 것이 라자루스의 목적인만큼 최종 페이로드는 정보 탈취 기능을 가진 고급 백도어일 것으로 예상된다. 이러한 공격 방식은 라자루스가 이전에 암호화폐 거래소를 공격할 때와 동일하다고 한다. 또한 멀웨어 이름 붙이는 방식도 과거 라자루스 캠페인의 그것과 유사하다고 한다.

9월 25일 발생한 제약 회사 대상 표적 공격에서는 북코드(Bookcode)라는 멀웨어가 사용됐다. 라자루스 그룹은 대한민국의 소프트웨어 회사를 공격할 때 북코드를 활용한 경험을 가지고 있다. 당시도 소프트웨어의 소스코드 정보를 캐내가는 게 목적이었다. 현재까지 밝혀진 바 북코드 멀웨어를 사용하는 건 라자루스 그룹이 유일하다.

이 두 공격의 공통점은 피해자들이 코로나 백신과 관련이 깊다는 것이다. 카스퍼스키는 이 두 조직 내 시스템에서 데이터를 외부로 빼돌리는 흔적을 찾아냈고, 윈도에 내재된 명령어를 활용해 네트워크 연결 현황을 파악하고 스캔하는 등의 행위가 있었음을 밝혀냈다. 또한 한 개의 환경설정 파일을 찾아내기도 했는데, 여기에 C&C 서버들에 대한 정보가 담겨져 있었다. 이 서버들 전부 한국에 있는 것으로 나타났다. 한국 내 서버들을 침해하여 공격에 활용한 것이다.

“결국 라자루스가 얼마나 코로나 관련 정보에 목말라 하는지를 나타내는 사건이라고 볼 수 있습니다. 라자루스라고 하면 금전적인 목적을 달성하기 위한 공격을 주로 하는 것으로 알려져 있는데요, 상황에 따라 금방금방 변할 수 있는 게 라자루스의 진정한 능력입니다. 이들은 사보타쥬도 일삼았던 그룹이고, 이제는 코로나를 노리기까지 합니다.” 카스퍼스키 측의 설명이다.

카스퍼스키는 “현재 코로나와 관련하여 연구를 진행하거나 대응을 하는 등 여러 가지 활동을 하는 조직들이라면 사이버 공격에 특히 주의해야 한다”고 권고하기도 했다.

3줄 요약
1. 북한 라자루스 그룹, 지난 9월과 10월 코로나 관련 조직 해킹함.
2. 9월에는 한 제약 회사를, 10월에는 한 대응 기관을 공격함.
3. 라자루스는 상황에 따라 사보타쥬를 하기도, 돈을 훔치기도, 데이터를 빼돌리기도 하는 그룹.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>