SNS까지 연쇄 감염…북한 해킹그룹은 언론사 누리집을 노린다

KISA, 북한 해킹 조직 라자루스 프로파일링
“일상·도미노 효과 노린 탐욕스러운 고블린”

게티이미지뱅크

한국인터넷진흥원(키사·KISA)이 지난해 말부터 벌어진 금융보안인증 소프트웨어와 언론사 누리집에 대한 해킹 공격에 대한 프로파일링 보고서를 내놨다. 해당 공격을 한 것으로 알려진 북한 해커 조직 ‘라자루스(Lazarus)의 공격 방식에 대해서는 탐욕스럽고 비열하다는 의미로 ‘오퍼레이션 고블린’이라 이름 붙였다.

키사가 28일 공개한 보고서를 보면 라자루스 그룹은 현재 대한민국을 목표물(타깃)로 활동하는 가장 위협적인 사이버위협 그룹 가운데 하나다. 이들은 국내 대다수의 기업과 사용자들이 사용하고 있는 보안 소프트웨어와 언론 사이트를 최초 침투에 악용했다. 주로 언론사의 기사페이지에 악성 스크립트를 삽입해 워터링 홀(접속 빈도가 높은 사이트를 감염시켜 피해자가 해당 사이트에 접속하면 컴퓨터에 악성코드를 추가로 설치하는 방식) 공격에 나섰다.

가장 두드러진 공격 특성은 ‘도미노 효과’다. 라자루스 조직은 과거부터 소프트웨어 개발사, 가상자산 거래소, 언론사 등 다양한 분야를 공격해 소스코드를 탈취한 뒤 이를 악용해 다시 공격에 나선다. 이번에 공격 대상이 된 언론사의 경우 이전에도 공격당했던 곳이었다. 언론사들이 기사 모니터링 과정 중에 다른 언론사 누리집에 접속할 때가 많아 하나의 언론사가 감염되었을 경우 다른 언론사가 연쇄적으로 감염됐다.

또 시민들이 언론사의 뉴스 페이지를 에스엔에스(SNS)를 통해 공유하는 ‘일상 생활’도 염두에 두고 공격한 것으로 보인다. 해커 조직이 침투한 보안 소프트웨어도 인터넷 뱅킹 이용률이 높은(2022년 기준 79.2%) 국내 상황을 노린 공격이었다. 이에 지난 3월30일 국가정보원·경찰청·키사가 서둘러 관련 보안 취약점을 공개하고 신속한 금융보안인증 프로그램 업데이트를 당부하고 나서기도 했다.

키사 관계자는 “개발사 침투를 통한 소스코드 탈취, 언론사 해킹을 통한 워터링홀 공격 등 소스코드와 자원을 탈취하고 악용하는 모습은 탐욕스러운 고블린을 떠올리게 한다”고 밝혔다. 이번 해킹 사건 조사는 한국인터넷진흥원, 경찰청 안보수사국, 사이버안보센터, 안랩, 카스퍼스키 등 민·관이 협력해 진행했다.

임지선 기자 sun21@hani.co.kr