커뮤니티

자유게시판

  • HOME
  • 커뮤니티
  • 자유게시판
자유게시판 상세보기, 제목, 내용, 파일등의 정보를 제공합니다.
제목 [보안뉴스] 북한의 라자루스, 이스라엘 군수 업체 노렸다?
[보안뉴스] 북한의 라자루스, 이스라엘 군수 업체 노렸다? 1번째 파일 - 자세한 내용은 본문 참조 사진 확대보기
북한 정부와 깊은 연관성을 가지고 있다고 알려진 해킹 단체 라자루스(Lazarus)가 이스라엘 조직들을 노리고 사이버 공격을 시도했다고 이스라엘의 일간지들이 보도했다. 북한 해커들이 이스라엘 조직을 직접 노린 건 이번이 처음이다.

최근 라자루스의 해킹 공격에 당했다고 알려진 건 국방 업체다. 군수 물자와 항공 산업에 발을 걸치고 있는 조직으로, 라자루스는 전형적인 사이버 스파이 유형의 공격을 하거나 사업상의 비밀을 훔치려는 목적으로 움직인 것으로 추정된다. 이러한 사실을 최초로 밝힌 건 이스라엘의 보안 업체인 클리어스카이(ClearSky)다.

클리어스카이는 이스라엘의 일간지 하아레츠(Haaretz)와의 인터뷰를 통해 “공격의 이유와 목적을 정확히 알 수는 없으나, 군사적 움직임에 대한 정찰 혹은 군용 기술에 대한 정보 탈취일 것으로 예상된다”고 밝혔다.

김정은 주석은 북한의 경제 발전을 위해 다양한 목표를 천명한 바 있다. 이에 전문가들은 “북한이 이 목표들을 이뤄내기 위해 해킹 기술을 발휘할 것”이라고 예상했었다. 그러면서 “다국적 기업들의 지적재산이 1차적인 목표가 될 것”이라고 짚었다.

이는 과거 중국이 경제 발전 목표를 달성하기 위해 서방 국가들을 대상으로 해킹 공격을 실시한 사례가 있기 때문에 가능한 예상이었다. 중국은 구체적인 경제 발전 계획을 전 국가적으로 선포하고, 이를 달성하기 위해 다양한 지적재산과 영업 기밀을 훔쳐냈다는 비판을 받아왔다. 북한은 유일하다시피 한 우방국인 중국의 발전 모델을 긴밀히 참고한 것으로 보인다.

라자루스의 움직임이 드러난 건 한 메일 때문이다. 3월 7일 이스라엘 국방 업체의 직원 한 명이 이메일을 한 통 받았다. 어색한 히브리어로 된 메일이, 동료 직원의 계정으로부터 발송된 것이었다. 클리어스카이는 “그 직원의 계정은 이미 침해된 상태였으며, 이를 통해 다른 시스템까지 감염시키려는 시도”였다고 설명한다.

이 공격을 추적하고 분석한 클리어스카이는 여러 가지 디지털 증거들을 찾아냈다. 그 중에는 라이징 선(Rising Sun)이라는 악성 임플란트도 있었다. 라이징 선은 라자루스가 사용하는 것으로 알려진 멀웨어다.

그래서 클리어스카이는 “이번 공격의 배후에 라자루스가 있다고 어느 정도 예상하고 있다(medium confidence)”고 발표했다. 라자루스를 가리키는 증거는 라이징 선 외에도 몇 가지가 더 있었지만, “누군가 고의로 라자루스인 것처럼 보이기 위해 흔적을 남겼을 가능성도 배제할 수 없다”고도 덧붙였다. 클리어스카이는 익명의 외부 보안 전문가의 도움을 받았다고도 말했다.

“공격자가 사용한 소스코드를 분석했을 때 한국어 옵션이 활성화 되어 있는 걸 알 수 있었습니다. 또한 문제가 됐던 메일의 악성 첨부파일이 회사 내 이메일 필터링 보호 장치를 우회했다는 것도 꽤나 놀라웠던 발견이었습니다.”

그 외에도 클리어스카이는 “라자루스로 보이는 공격자들이 최근 윈라(WinRAR) 압축 소프트웨어에서 발견된 취약점을 악용하려고 시도한 흔적도 찾았다”고 설명을 추가했다. 라자루스는 윈라 취약점이 여러 해킹 단체들에 의해 활발히 남용되고 있다는 소식이 처음 나왔을 때부터 이름이 언급된 바 있다.

[국제부 문가용 기자(globoan@boannews.com)]
파일
목록