북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스’가 인터넷뱅킹에 쓰이는 금융보안인증 소프트웨어의 취약점을 노리고 컴퓨터 207 대를 해킹, 악성코드를 퍼뜨린 사실이 18일 확인됐다. 그동안 북한은 안보, 방산 등 일부 특정 분야를 겨냥한 해킹을 주로 저질러왔는데, 이번엔 국내외 1000만대 이상 컴퓨터에서 사용하는 소프트웨어를 해킹했다는 점에 수사 당국은 촉각을 기울이고 있다. 국민 대다수가 이용하는 컴퓨터가 북 악성 코드에 감염될 위험에 노출된 것 아니냐는 우려가 나온다.
경찰청 국가수사본부 안보수사국은 지난해 11월부터 금융보안인증 소프트웨어 취약점 악용 공격 사건을 수사한 결과, 이번 사건이 ‘라자루스’ 해킹 조직의 소행인 것으로 파악했다고 밝혔다. 라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 북한 해킹조직으로, 우리 정부는 지난 2월 사이버 분야 대북 독자제재 대상으로 ‘라자루스’ 해킹조직을 지정한 바 있다.
라자루스는 2021년 4월부터 1년여 동안 국내 유명 보안인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다. 이들은 지난해 6월부터 이 프로그램이 설치된 PC가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되는 이른바 ‘워터링 홀’(watering hole) 수법으로 국내 언론사 8곳 등 61개 기관의 PC 207대를 해킹했다. 경찰청 안보수사국 박현준 첨단안보수사계장은 “100분의1초만에 악성코드가 심어지는 방식을 조사 결과 확인했다”고 했다.
라자루스는 당초 해킹된 PC의 관리자 권한을 뺏어 이른바 ‘좀비 PC’로 만든 뒤 사이버 공격을 본격 감행할 계획이었지만, 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다고 경찰은 전했다. 앞서 국정원은 지난 3월 30일 국민들에게 관련 보안 취약점을 공개하고 신속한 금융보안인증 프로그램 업데이트를 당부한 바 있다. 경찰청 관계자는 “분석 자료를 근거로 해당 보안인증서 업체와 협조해 실제 공격과 방어 시현을 진행하는 등 보안패치 개발을 완료했다”고 밝혔다. 경찰, 국정원 등은 해당 소프트웨어를 사용 중인 공공·금융기관을 대상으로 관계기관과 함께 보안패치 작업을 완료했다고 밝혔다.