북한의 라자루스, 암호화폐 거래소 터는 실력 늘어났다

맥OS용 멀웨어 제작 기술, 오픈소스 짜집기하던 수준에서 크게 벗어나
감염 절차도 바뀌어...라자루스가 한동안 금전적인 공격 할 거라는 뜻

[보안뉴스 문가용 기자] 지난 1년 반 동안 북한 정부의 지원을 받는 해킹 그룹인 라자루스(Lazarus)가 지속적으로 암호화폐 거래소를 공격해왔다는 사실이 보안 업체 카스퍼스키에 의해 밝혀졌다. 심지어 공격을 위한 멀웨어와 전략에 상당한 발전이 있다고도 한다. 라자루스는 2017년 워너크라이(WannaCry) 사태의 배후 세력이라고 여겨지고 있기도 하다.

[이미지 = iclickart]

라자루스는 2018년 후반기부터 은행과 암호화폐 거래소를 집중적으로 공략하기 시작했다. 이들이 벌인 ‘애플제우스(AppleJeus) 작전’에서는 라자루스로서는 처음으로 맥OS 멀웨어를 사용하는 모습이 나타나기도 했다.

2019년에도 네 가지 새로운 멀웨어 패밀리들을 들고 나왔다.
1) 요트(Yort) 백도어 : 암호화폐 관련 사업체들 공격
2) 지메라(GMERA) 트로이목마
3) 이름이 아직 정해지지 않은 백도어
4) 라자루스 로더(Lazarus Loader) 혹은 맥로더(macloader) : 1단계 임플란트

카스퍼스키에 의하면 “라자루스는 애플제우스와 비슷한 공격을 지금도 계속해서 펼치고 있는 중”이라고 한다. “처음 라자루스는 공개된 소스코드를 조합하고 짜집기 해서 맥OS용 인스톨러를 여러 개 개발했고, 그래서 비슷한 스크립트와 같은 명령행 아규먼트가 활용되었습니다. 하지만 2019년 12월 처음 개발된 인스톨러의 경우 맥OS 멀웨어 개발 실력이 상당히 향상되었음을 보여주었습니다.” 그 향상된 실력을 증명하는 게 바로 라자루스 로더 혹은 맥로더다.

“그 외에 깃허브(GitHub)에 멀웨어를 호스팅하기도 하고, QT 프레임워크 대신 오브젝트C(Object-C)를 활용하기도 했습니다. 맥OS용 실행 파일에는 간단한 백도어 기능이 추가되기도 했고, 윈도우용 버전에서는 ADVobfuscator가 활용됐습니다. 하지만 그 무엇보다 맥OS 멀웨어에 있는 설치 후 스크립트(post-install script)가 가장 달라졌습니다.” 카스퍼스키의 설명이다.

또한 최근 라자루스는 맥OS를 겨냥한 공격에서 유니온크립토크레이더(UnionCryptoTrader)라는 악성 애플리케이션을 사용하기도 했다. “유니온크립토트레이더의 경우 윈도우 버전이 발견되기도 했습니다. 윈도우 버전은 텔레그램 메신저의 다운로드 폴더에서 실행이 되고 있었습니다.” 여기서부터 추적을 시작한 카스퍼스키는 라자루스가 만든 가짜 웹사이트에서 텔레그램 그룹을 발견하는 데 성공했다. “즉, 이들이 텔레그램 메신저를 통해 페이로드를 활발히 전파하고 있다는 걸 알 수 있습니다.”

윈도우 버전의 유니온크립토트레이더의 경우 다양한 암호화폐 거래소에서 제시하는 가격표도 포함하고 있었다. 맥OS 버전에도 비슷한 기능이 업데이트를 통해 추가되었으며, 로더로서 작동하기도 한다. “로더로서 작용한다는 건, 시스템에 대한 기본적인 정보를 수집해 공격자에게 정송하며, 이를 바탕으로 최종 페이로드를 메모리에 로딩시킨다는 겁니다.”

최종 페이로드는 공격자가 수동을 주입한다는 특징을 가지고 있다. “특정 시스템에서만 돌아가도록 설계가 되어 있기 때문입니다. 시스템 정보를 검토해서 여러 가지 조건이 맞아떨어지면 추가 공격을 시도한다는 것이죠. 라자루스가 최종 페이로드를 실행하는 데 있어 상당히 조심스럽다는 걸 알 수 있습니다.”

라자루스는 가짜 암호화폐 거래소 웹사이트를 만들어 공격에 활용하기도 했다. 하지만 이 사이트들 중 그럴 듯하게 기능을 하는 곳은 거의 없었다고 한다. “저희가 발견한 가짜 사이트들은 거의 죽은 상태였어요. 대신 텔레그램 그룹은 활성화되어 있었죠. 이 그룹은 2018년 12월 17일에 개설되었습니다. 당시 활동했던 계정들 중 일부는 현재 삭제된 상태입니다.”

라자루스의 공격에 영국, 폴란드, 러시아, 중국의 여러 조직들이 피해를 입었고, 이중에는 암호화폐 관련 사업체들이 꽤나 있다고 한다.

“라자루스의 맥OS 및 윈도우용 멀웨어는 최근에 정말 크게 향상되었습니다. 개발 프레임워크 자체가 바뀌었고, 맥OS 다운로더의 경우에는 인증 시스템도 추가가 되었을 정도입니다. 최종 페이로드를 심는 일련의 과정들돠 이전에 비해 달라졌고요. 라자루스가 금전적인 공격을 한다는 게 유명해지고, 금융 업계의 경계가 심해지니 이들도 공격 방법과 도구를 업그레이드시키고 있습니다. 그렇다는 건 라자루스가 앞으로도 계속해서 금융 업계와 암호화폐 거래소들을 노릴 것이라는 뜻입니다.” 카스퍼스키의 결론이다.

3줄 요약
1. 라자루스, 지금도 계속해서 암호화폐 거래소와 사업체 노리고 있음.
2. 최근 맥OS용 멀웨어가 특히 크게 향상이 됨.
3. 최종 페이로드 심는 방법과 전략도 바뀜. 이들의 강력한 의지 나타냄.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)