첩보, 파괴, 금전 유출…세계를 뒤흔드는 해킹조직 ‘라자루스’

가 +
가 -

경찰청 사이버안전국은 지난 3월 발생한 금융자동화기기(ATM) 해킹이 북한 소행이라고 최근 공식 발표했다.

이 사건은 청호이지캐쉬 ATM 63대를 해킹해 은행·카드사 고객·금융정보 23만8073건을 유출, 국내외로 유통해 복제카드를 만든 뒤 현금 인출, 대금결제 등에 사용되는 피해를 발생시켰다.

경찰은 북한 해커로부터 금융정보를 넘겨받아 불법으로 사용한 혐의로 해외 정보판매 총책인 중국동포 허모(45)씨와 복제카드를 만들어 사용한 한국인 손모(33)씨 등 4명을 정보통신망법 위반 등 혐의로 구속했다. 또 중국에 거주 중인 공범 A씨 등 3명을 쫓고 있다고 밝혔다.

경찰의 이번 수사결과가 발표되기 전인 지난 7월 러시아 보안업체 카스퍼스키랩은 이 ATM 해킹에 사용된 악성코드와 기술이 북한과 연관된 해킹조직으로 추정되고 있는 ‘라자루스(Lazarus)’의 공격 방식과 유사하다는 조사 결과를 내놨다.

라자루스는 지난 2014년 소니픽처스 엔터테인먼트 해킹을 기점으로 대형 사이버공격이 발생할 때마다 지목되고 있는 해킹조직이다. 활동 무대는 전세계다.

지난해 방글라데시 중앙은행에서 8100만달러에 달하는 막대한 규모의 돈이 사라진 사건, 그 전후로 동남아시아·유럽 등에 있는 다양한 은행을 공격한 것 역시 ‘라자루스’가 벌였다는 게 보안업계의 공통된 분석이다.

올해 전세계 100여개 국가에 있는 수많은 PC를 삽시간에 감염시킨 ‘워너크라이’ 랜섬웨어 공격도 사실상 라자루스 소행으로 받아들여지고 있다.

민간 보안업체들은 사이버공격을 벌이는 그룹에 라자루스와 같은 이름을 붙인다. 하지만 국내에서는 물론 해외에서도 라자루스를 북한과 연관된 해킹조직으로 보는 분위기가 짙다.

카스퍼스키랩 글로벌 연구·분석팀(GReAT)은 라자루스를 오랜기간 계속해서 추적해왔다. 그 결과를 담은 보고서를 최근 7개나 내기도 했다.

카스퍼스키랩은 라자루스가 사이버표적 공격으로 첩보(Cyberspionage)나 파괴공작(Cybersabotage)을 벌이던 방식에서 금전을 목적으로 한 표적형 사이버범죄로 활동 반경을 넓히고 있다고 보고 있다. 여러 은행 공격과 ATM 해킹이 대표적 사례다.

최소 100명 이상 갖춘 대규모 APT 조직, 금전 노린 공격까지 확장

최근 두드러지고 있는 금전 목적의 공격은 라자루스의 하위그룹이 담당하고 있는 것으로 분석됐다. 카스퍼스키랩은 이 그룹을 ‘블루노로프(BlueNoroff)’라고 부르고 있다.

처음엔 블루노로프가 라자루스와 별개의 해킹조직으로 봤지만, 현재는 ‘특정’ 국가지원을 받는 ‘같은’ 해킹조직으로 보고 있다.

이들의 소행으로 의심되는 여러 침해사고와 공격방식, 연관될 것으로 추정되는 180여개의 악성코드 샘플과 분석한 카스퍼스키랩은 라자루스가 최소 2009년부터 활동해온 해킹조직으로, 특정국가 지원을 받는 지능형지속위협(APT) 그룹으로 분석하고 있다. 최소 100명 이상의 대규모 조직으로, 상당한 수준의 스킬을 보유하고 있는 것으로 추정된다.

최근 방한한 카스퍼스키랩의 비탈리 캄룩 아시아태평양지역 리서치센터장으로부터 라자루스를 추적해 분석한 내용을 직접 들을 기회가 있었다. 그는 “라자루스는 전세계를 대상으로 사이버공격을 수행하고 있는 독보적인 조직”이라며 “국가 지원을 받는 APT그룹으로 분류하고 있지만 최근에는 블루노로프라는 하위조직을 통해 돈을 노린 사이버범죄도 벌이고 있다”라고 말했다.

캄룩 센터장은 “라자루스는 정보(intelligence) 수집을 목적으로 한 사이버첩보(Cyberspionage)나 사이버사포타주(Cybersabotage) 활동은 하지만 돈을 목적으로 공격하지는 않았다. 최근에는 돈을 훔치기 위해 금융사와 암호화폐, 카지노 등을 공격하는 활동도 수행하고 있다”라면서 “이들의 관심사가 이동했거나 사이버첩보 등을 수행하기 위해 돈이 필요했을 수도 있다”라고 관측했다.

카스퍼스키랩이 라자루스를 대규모 조직으로 보고 있는 이유에 대해 캄룩 센터장은 “라자루스는 백도어를 5-6개씩 사용하며 암호화나 난독화 방식을 적용해 하나의 백도어를 바탕으로 5-6개의 변종을 각각 만든다. 충분한 개발 인력과 역량을 보유하고 있다는 점으로 볼 수 있다”라고 설명했다.

또한 “악성코드 개발뿐 아니라 정상 서버를 해킹해 명령·제어(C2) 서버를 만드는 작업조가 필요하고 호스트를 감염시켜 조작해 돈을 세탁하는 조직도 필요하기 때문에 조직이 상당히 클 것”이라며 “공격 대상 역시 은행, 카지노, 암호화폐 관리기업, 전자지불 기업 등을 동시에 공격하는 대규모 캠페인을 벌이고 있다”라고 덧붙였다.

은행, 카지노, 암호화폐, 금융SW업체 전방위 공격

카스퍼스키랩 분석에 따르면, 라자루스의 금융사 대상 공격은 광범위하다. 베트남, 폴란드, 멕시코, 코스타리카, 칠레, 브라질, 대만, 에디오피아, 나이지리아, 가봉, 우루과이, 케냐, 태국, 이라크, 말레이시아, 인도네시아, 태국, 인도, 방글라데시까지 19개 국가에 있는 은행과 금융관련 기업들을 공격한 것으로 발견된 상태다.

주로 보안이 취약한 은행을 주축으로 카지노, 투자회사, 암호화폐(가상화폐)나 전자지불결제 관련기업, 금융 관련 소프트웨어 기업 등 공격 대상이 다양하다. 한국의 경우 ATM 기기 63대 해킹 사례가 해당된다.

이같은 공격을 수행한 블루노로프가 라자루스의 하위조직으로 보고 있는 이유를 묻는 질문에 캄룩 센터장은 이렇게 말했다. “블루노로프가 사용하는 악성코드는 라자루스 악성코드와는 다른, 독특한 패턴을 지닌다. 별도의 툴을 사용한다. 그러나 라자루스가 사용하는 툴이나 백도어 등에서 공통점도 있다. 라자루스 툴을 사용해 침투경로를 만든 뒤에 자체 제작한 툴과 악성코드를 사용한다. 블루노로프는 공격할 때 라자루스와 별개로, 단독으로 움직이지 않는다.”

블루노로프의 특성은 스위프트 메시지를 조작해 몰래 돈을 훔친 방글라데시 중앙은행 공격에서 찾아볼 수 있다.

카스퍼스키랩 조사에 따르면, 블루노로프는 스위프트 소프트웨어를 파악해 수정했다. 스위프트는 거래가 이뤄질 때 무결성을 체크하는데 공격자가 해당 소프트웨어를 조작(패치)해 변조된 비정상 거래가 일어나더라도 정상 거래인 것처럼 보이게 만들었다.

캄룩 센터장은 “블루노로프는 스위프트 소프트웨어 구조를 완전히 파악하고 있었다. 리버스엔지니어링으로 분석해 어느 부분을 패치해야 하는지 알아내는 높은 수준의 스킬을 보유하고 있다는 것”이라며 “단 하나의 비트(bit)만 추가, 기존 싱글(1)비트를 2비트로 변경해 DB 무결성 검증을 무력화시켰다”라고 설명했다.

그는 “‘방글라데시 중앙은행 사건은 하나의 중요한 비트만 고쳐도 막대한 돈을 훔칠 수 있다는 것을 보여줬다”라면서 “소프트웨어 취약점은 아니었지만 스위프트 관리자 PC가 공격자가 장악해 동작방식을 습득한 뒤 조작한 것으로, 방글라데시 이전에도 베트남은행, 필리핀은행 등 여러 동남아 은행이 당했다. 관련공격은 19개 국가에서 발생했다”라고 했다.

하지만 아직까지 이들 은행에 침투할 수 있게 만든 초기 감염경로는 정확히 밝혀지지 않은 상태다. 스피어피싱 이메일과 취약한 웹사이트를 통한 ‘워터링홀’ 공격으로 악성코드를 배포해 사용자(금융사 직원) PC를 감염시켰을 것으로 추정하고 있는 상황이다.

폴란드 은행이 공격당하던 시점에 폴란드 금융당국 웹사이트에서 워터링홀 공격에 의한 침해가 발생했는데, 방글라데시 중앙은행에서 발견된 것과 동일한 악성코드가 발견된 것에서 초기감염 경로를 엿볼 수 있다.

이 조사결과, 특정 IP 주소 범위에서 이 웹사이트에 접속한 사용자만 악성코드에 감염되도록 타깃 리스트를 설정할만큼 지능적이었던 것으로 조사됐다고 캄룩 센터장은 설명했다.

그는 “블루노로프 공격은 매우 정교하다”라며 “악성코드를 분리해 두 개의 컴퓨터에 저장한다. 두 악성코드가 결합돼야만 악성행위를 수행할 수 있게 만들었다. 악성코드는 암호화된 형태로 존재하는데, 로더를 실행해 원격에 있는 악성코드를 가져와야만 디코딩 후 키로깅을 시작할 수 있다”는 예를 들었다. 블루노로프의 또다른 특징으로는 “흔적도 말끔히 지우는데 특화돼 있다”라고 말했다.

은닉 속 노출된 ‘한국문화’적 특성

카스퍼스키랩 GReAT는 지난 4월 라자루스와 블루노로프의 전세계 은행 대상 공격 분석 결과를 공개하면서 “북한과의 연결고리를 확인한 것은 처음”이라고 밝히기도 했다.

카스퍼스키랩은 라자루스와 블루노로프가 영어 구사 능력이 뛰어날 뿐 아니라 한국어도 사용할 수 있는 것으로 추정하고 있다. 한국어 구사능력, IP 주소로 나타난 위치, 활동 시간대, 다양한 사건 간 유사성 등은 북한 연관 가능성에 무게를 싣게 만드는 요인이다.

자신들의 정체를 숨기려했지만 한국어 구사능력을 포함해 다양한 “한국적인 문화”를 간혹 노출시킨다는 점에서다. 물론 그들의 자칫 잘못한 실수로 인한 노출이다.

“한국적인 문화”로 표현된 그들의 ‘실수’ 사례에 대한 캄룩 센터장의 얘기다.

“유럽 C2 서버에서 나온 데이터를 파트너로부터 받아 분석했다. 공격자는 C2 서버를 설치하고 웹브라우저를 사용해 악성코드를 실행시켜 먼저 테스트를 수행했다. 은행들 공격이 이뤄지던 시기인 지난 1월18일 같은 날 프랑스와 한국 가상사설망(VPN)으로 테스트한 것이 발견됐다. VPN이 연결돼 있으면 C2 서버에 VPN IP가 나오는데 연결이 끊어지면 진짜 IP가 노출된다. VPN 접속이 끊어지면서 잠깐 북한 IP가 찍힌 것이 확인됐다. 역시 아시아 시간대였다.”

그는 다른 보안업체가 분석해 발표했던 사례에서도 폴란드 은행 공격 당시 C2 서버는 홍콩에 있었고 VPN을 통해 스페인 IP로 접속했지만 접속이 끊어지면서 북한 IP가 노출됐다고 설명했다.

카스퍼스키랩은 악성코드를 만들고 업로드된 시간을 바탕으로 공격자들의 활동 시간대를 분석한 결과, 아시아 지역 시간대로 오전 8-9시 이후 활동이 많아지고 오후 6시 이후에는 활동이 급격히 떨어진다는 것을 발견하기도 했다. 점심시간인 12시대에도 활동이 멈추는 특징이 있었다.

또 다른 사례도 있다. 블루노로프 악성코드에서 한국어 버전의 윈도 운영체제(OS)를 변형해 사용한 흔적이 발견된 것이다. 그 가운데 하나는 한국어 OS상에서 만든 것을 은폐하기 위해 강제로 변형하면서 표면에는 모두 영어로 돼 있었지만 도스 창에서 유니코드 형식을 사용하는 것을 보여주는 캐릭터가 깨진 형태로 나타나 있는 것이 확인됐다.

그는 “블루노로프 악성코드에서는 한국어 특성을 찾아보기가 힘들다. 러시아어로 만들어진 경우도 있었지만 대부분이 유창한 영어”라며 “한국적 문화를 감추려 했지만 실수로 노출한 것으로 보인다”라고 말했다.

라자루스가 벌인 것으로 지목된 소니픽처스, 방글라데시 중앙은행, 워너크라이 공격 모두 북한 소행 내지는 북한이 배후에 있다는 것이 많은 국내외 보안업체·전문가들의 공통된 견해다. 소니픽처스 해킹은 미국 정부와 수사기관이 직접 북한을 공격자로 지목하기도 했다.

캄룩 센터장은 “라자루스가 국가 지원을 받는 공격그룹”이라고 확신하고 있다. 다만 라자루스가 북한의 해킹조직으로 보고 있냐는 물음에는 “민간기업일 뿐 정보기관이나 수사기관이 아니기 때문에 한계가 있다. 추적하는 과정에서 발견된 다양한 객관적 정보와 사실을 알릴 수 있고, 이를 바탕으로 가능성을 제기할 수 있을 뿐”이라고 전제했다.

그는 “사이버세상에서 공격을 벌이는 정체를 찾고 지목하는 것이 쉽지 않다”면서 3가지 가능성을 제시했다.

먼저 다른 쪽에서 대규모 돈을 투자해 ‘북한인 척’하면서 공격을 수행하고 있을 가능성이다. 그 다음으로는 제3의 국가나 조직에서 북한을 돕고 있기 위해 연관됐을 가능성이다. 마지막은 강력한 공격 동기를 바탕으로 북한이 공격을 수행하는 경우다. 추적한 정보를 바탕으로 보면 현재까지 3번째 가능성이 가장 높다고 여겨지는 상황이다.

캄룩 센터장은 “라자루스는 유일한 조직”이라면서 “이들은 돈을 목적으로 한 공격을 멈추지 않았다. 현재도 계속 공격 활동을 수행하고 있다”라고 지적했다.

그는 사이버침해가 발생할 경우 일회성 조치로 끝내서는 안된다는 점을 특별히 강조하면서 “사이버침해가 탐지됐을 경우 악성코드를 삭제한다고 끝나는 것이 아니다. 반드시 주변의 다른 시스템을 연계 조사하면서 원인을 계속 찾아나가야 하며, 목적이 무엇인지를 밝혀내고 대응하는 것이 중요하다”라고 조언했다.

네티즌의견(총 1개)