라자루스, 韓 SW·IT·금융·통신 기업 노려
파일 전송 SW '이노릭스 에이전트'서 취약점 발견
해외 자산 탈취해 탄도 미사일 개발에 사용

북한 해킹 조직 라자루스가 한국 공급망을 대상으로 사이버 공격을 가했다는 조사 결과가 나왔다. 라자루스는 고도화된 워터링 홀(Watering Hole) 방식과 서드파티 소프트웨어 취약점 악용을 결합한 정밀 공급망 공격을 시도한 것으로 드러났다.

한국 공급망 노린 北 해커그룹

24일 러시아 정보보호 기업 카스퍼스키는 라자루스가 한국 내 다양한 조직을 겨냥해 고도화된 사이버 공격을 감행한 사실을 확인했다고 밝혔다. 이번 공격은 이노릭스 에이전트(Innorix Agent)에서 발견된 제로데이(Zero-day) 취약점을 활용해 소프트웨어, IT, 금융, 반도체, 통신 등 최소 6개 한국 조직을 대상으로 수행됐다. 카스퍼스키는 해당 공격을 ‘오퍼레이션 싱크홀(Operation SyncHole)’로 명명하고, 이 취약점이 즉시 패치됐다고 밝혔다.

공격자는 브라우저 통합형 서드파티 보안 파일 전송 도구인 이노릭스 에이전트의 취약점을 악용해 측면 이동과 악성코드 설치를 진행했다. 최종적으로 라자루스의 대표 악성코드인 ThreatNeedle과 LPEClient를 배포해 내부 네트워크를 장악한 것으로 분석됐다. 카스퍼스키 글로벌 리서치 및 분석팀(GReAT)은 이 과정에서 악성코드 행위 분석을 통해 또 다른 임의 파일 다운로드 제로데이 취약점을 선제적으로 발견했고, 해당 취약점은 한국인터넷진흥원(KrCERT)과 공급사에 신고 후 패치됐다.

공격에 사용된 또 다른 경로로는 한국산 브라우저 보안 도구인 CrossEX가 언급됐으며, 이 도구의 하위 프로세스인 SyncHost.exe를 통해 변종 백도어 악성코드가 실행된 정황이 확인됐다. CrossEX는 최근 공식적으로 보안 취약점이 존재함이 인정돼 업데이트가 이뤄진 바 있다. 이고르 쿠즈네초프 카스퍼스키 GReAT 디렉터는 “지역 특화 소프트웨어나 구형 시스템에서 사용하는 브라우저 플러그인이나 보조 도구는 공격 표면을 넓히는 주요 원인”이라며 “높은 권한으로 실행되는 이러한 도구는 최신 브라우저보다 더 쉽게 공격자들의 표적이 된다”고 말했다.

SW 취약점 악용, ‘중간자 공격’도 증가세

라자루스의 국내 공격은 이번이 처음이 아니다. 라자루스는 2023년 상반기를 기점으로 제로데이 취약점을 악용해 국내 기업을 노린 공격을 넓히고 있다. 언론, 방산, 소프트웨어(SW) 개발사 등 목표 대상 또한 다양하다. 지난해부터는 중간자 공격도 증가하고 있다. 중간자 공격은 통신 당사자 사이에 끼어들어 정보를 가로채거나 조작하는 방식으로, 여러 디지털 기기와 시스템의 복잡성이 증가하면서 공격 행태가 증가할 전망이다. 이러한 공격은 개인정보, 금융 데이터, 기업 비밀 등 핵심 정보 유출로 이어질 수 있어 주의가 필요하다.

무엇보다 중간자 공격은 암호화 통신이 늘어난 환경 속에서도 심각한 위협으로 여겨지고 있다. 암호화 프로토콜에 대한 공격 수법이 발전한 영향이다. 국가정보원에 따르면 공격자들은 암호화 프로토콜 취약점을 찾고, 이를 이용한 중간자 공격 수법을 개발할 것으로 예상했다. 양자컴퓨팅이 발전하면 기존 암호화 기술을 무력화시킬 가능성도 배제할 수 없다.

뿐만 아니라 최근 들어 사물인터넷(IoT) 기기를 통해 새로운 공격 벡터가 등장하고 있고, 인증 메커니즘 우회를 위한 공격 수법 또한 발전하고 있다. 국정원은 "암호화 프로토콜 강화, IoT 기기 보안 향상, 공공 와이파이 사용 주의, 인증 메커니즘 우회 공격 대응 방안 등을 고려해야 한다"고 말했다.

미사일 개발 등 ‘검은돈’으로 활용

이 해킹조직이 라자루스로 불리기 시작한 것은 2016년부터다. 소니픽쳐스는 김정은 북한 국무위원장의 암살을 소재로 한 코미디 영화 ‘디 인터뷰’를 제작한 이후인 2014년 11월 해킹 공격을 받았는데, 당시 보안업계는 북한을 주범으로 지목하며 라자루스라는 이름을 붙였다. 뒤늦게 악명을 얻은 라자루스는 사실 2009년 이미 실질적인 활동을 시작한 것으로 추정된다.

라자루스의 해킹 수준은 무시할 수 없는 수준이라는 게 대체적인 평가다. 글로벌 사이버 보안업체 카스퍼스키랩은 2019년 가장 두드러진 해킹 활동을 수행한 조직 10개 중 라자루스를 1위로 꼽은 바 있다. 4위에 이름을 올린 블루노로프 역시 라자루스의 하위 조직으로 알려져 있다. 인민군 총참모부 산하의 지휘자동화대학은 매년 수백명의 사이버 전문 인력을 배출하고 있는 것으로도 전해진다. 일반적인 사이버 범죄자들이 개인적으로 활동하는 것과 달리, 북한의 해킹 활동은 국가 차원의 지원을 받는 작전인 셈이다.

북한이 사이버 공격에 집중하는 건 가성비(가격 대비 성능) 때문이다. 국제연합(UN)의 대북 경제 제재를 피해 상대적으로 적은 비용으로 외화벌이에 나설 수 있어서다. ‘라자루스 탈취 사건’의 저자인 저널리스트 제프 화이트는 “지난 몇 년간 암호화폐 회사들이 탈취당한 거액이 북한 정권의 지속적인 무기 개발에 기여했다”며 “북한의 사이버 활동과 핵미사일 추구 두 가지를 같이 볼 필요가 있다”고 설명했다. 실제 UN 안전보장이사회 산하 대북제재위원회가 지난해 10월 공개한 보고서에 따르면 2017~2022년 북한이 탈취한 가상화폐는 23억 달러(약 3조3,000억원)에 달한다.

기술 탈취 자체가 목표가 되기도 한다. 국정원은 “북한은 절취한 무기 기술로 현재 보유 중인 재래식 무기에 대한 성능 개량 및 현대화를 비롯해 탄도미사일·정찰위성·잠수함 등 전략무기를 개발하는 데도 활용하고 있는 것으로 추정된다”며 “북한에 있어서 사이버 첩보활동은 무기 기술을 획득하기 위한 저비용의 효율적인 수단”이라고 밝혔다.