北정찰총국 ‘라자루스’ 소행 확인
금융인증 취약점 노려 악성코드
좀비 PC 통해 대규모 공격 정황
“해킹 막으려면 업데이트 마쳐야”

지난해 인터넷뱅킹에 쓰이는 금융 보안인증 프로그램의 취약점을 악용해 컴퓨터를 해킹하고 악성코드를 퍼뜨린 사건이 북한과 연계된 해커그룹 ‘라자루스’의 소행으로 확인됐다. 경찰은 라자루스가 1000만대 넘는 국내 기관·기업·개인 PC에 설치된 보안인증 프로그램을 이용해 대규모 대남 사이버 공격을 준비한 정황도 확인했다.

경찰청 국가수사본부는 18일 “북한이 전자 금융서비스 이용에 필수적으로 설치되는 프로그램의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 홈페이지를 악성코드 유포의 매개체로 활용한 해킹 사건”이라고 밝혔다.

2014년 김정은 북한 국무위원장을 다룬 영화 ‘더 인터뷰’ 제작사 소니픽처스를 해킹해 이름을 알린 라자루스는 북한 정찰총국이 배후에 있는 것으로 알려졌다. 라자루스는 2016년 방글라데시 중앙은행 해킹 사건, 2017년 워너크라이 랜섬웨어 사건에도 연루됐다. 우리 정부는 지난 2월 사이버 분야 대북 독자 제재 대상으로 라자루스를 지정한 바 있다. 박현준 경찰청 안보수사국 첨단안보수사계장은 “해킹 수법이나 공격 인프라 구축 방식 등을 감안하면 라자루스 소행이 확실하다”며 “다른 조직일 가능성은 없다는 게 경찰뿐 아니라 다른 관계기관의 일치된 의견”이라고 말했다.

경찰에 따르면 라자루스는 2021년 4월부터 1년 동안 국내 보안 인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 해킹에 악용된 프로그램은 이니텍의 금융 보안인증 소프트웨어로, 전자금융·공공부문 인증서 관련 프로그램이다.

이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 홈페이지에 접속하면 자동으로 악성코드가 설치되는 ‘워터링 홀’ 수법으로 국내 언론사 8곳, 의료바이오 기관 4곳, 공공기관 3곳 등 모두 61개 기관의 PC 207대를 해킹했다.

이 악성코드에 감염되면 내부 시스템 자료 탈취, 키보드 입력 내용 실시간 탈취, 강제로 특정 홈페이지 접속 등이 가능한 것으로 조사됐다. 이른바 ‘좀비 PC’가 된다는 얘기다. 라자루스는 이렇게 해킹한 PC의 관리자 권한을 빼앗은 이후 대규모 사이버 공격을 감행할 계획이었다. 다만 악성코드 감염 의심 첩보 등으로 입수한 뒤 보안 패치를 개발하면서 이를 막아 낼 수 있었다는 게 경찰의 설명이다.

국가정보원은 지난달 관련 보안 취약점을 공개하고 신속한 보안인증 프로그램 업데이트를 당부한 바 있다. 경찰청 관계자는 “해킹 피해를 예방하기 위해 보안인증 프로그램을 최신 버전으로 업데이트해 달라”고 말했다.