Home > 전체기사
북한의 라자루스, 이스라엘 군수 업체 노렸다?
  |  입력 : 2019-03-27 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
어색한 히브리어로 된 이메일 통해 공격 포착돼...이유는 아직 불확실
라자루스 특유의 멀웨어인 라이징 선 발견되기도...한글 옵션도 활성화


[보안뉴스 문가용 기자] 북한 정부와 깊은 연관성을 가지고 있다고 알려진 해킹 단체 라자루스(Lazarus)가 이스라엘 조직들을 노리고 사이버 공격을 시도했다고 이스라엘의 일간지들이 보도했다. 북한 해커들이 이스라엘 조직을 직접 노린 건 이번이 처음이다.

[이미지 = iclickart]


최근 라자루스의 해킹 공격에 당했다고 알려진 건 국방 업체다. 군수 물자와 항공 산업에 발을 걸치고 있는 조직으로, 라자루스는 전형적인 사이버 스파이 유형의 공격을 하거나 사업상의 비밀을 훔치려는 목적으로 움직인 것으로 추정된다. 이러한 사실을 최초로 밝힌 건 이스라엘의 보안 업체인 클리어스카이(ClearSky)다.

클리어스카이는 이스라엘의 일간지 하아레츠(Haaretz)와의 인터뷰를 통해 “공격의 이유와 목적을 정확히 알 수는 없으나, 군사적 움직임에 대한 정찰 혹은 군용 기술에 대한 정보 탈취일 것으로 예상된다”고 밝혔다.

김정은 주석은 북한의 경제 발전을 위해 다양한 목표를 천명한 바 있다. 이에 전문가들은 “북한이 이 목표들을 이뤄내기 위해 해킹 기술을 발휘할 것”이라고 예상했었다. 그러면서 “다국적 기업들의 지적재산이 1차적인 목표가 될 것”이라고 짚었다.

이는 과거 중국이 경제 발전 목표를 달성하기 위해 서방 국가들을 대상으로 해킹 공격을 실시한 사례가 있기 때문에 가능한 예상이었다. 중국은 구체적인 경제 발전 계획을 전 국가적으로 선포하고, 이를 달성하기 위해 다양한 지적재산과 영업 기밀을 훔쳐냈다는 비판을 받아왔다. 북한은 유일하다시피 한 우방국인 중국의 발전 모델을 긴밀히 참고한 것으로 보인다.

라자루스의 움직임이 드러난 건 한 메일 때문이다. 3월 7일 이스라엘 국방 업체의 직원 한 명이 이메일을 한 통 받았다. 어색한 히브리어로 된 메일이, 동료 직원의 계정으로부터 발송된 것이었다. 클리어스카이는 “그 직원의 계정은 이미 침해된 상태였으며, 이를 통해 다른 시스템까지 감염시키려는 시도”였다고 설명한다.

이 공격을 추적하고 분석한 클리어스카이는 여러 가지 디지털 증거들을 찾아냈다. 그 중에는 라이징 선(Rising Sun)이라는 악성 임플란트도 있었다. 라이징 선은 라자루스가 사용하는 것으로 알려진 멀웨어다.

그래서 클리어스카이는 “이번 공격의 배후에 라자루스가 있다고 어느 정도 예상하고 있다(medium confidence)”고 발표했다. 라자루스를 가리키는 증거는 라이징 선 외에도 몇 가지가 더 있었지만, “누군가 고의로 라자루스인 것처럼 보이기 위해 흔적을 남겼을 가능성도 배제할 수 없다”고도 덧붙였다. 클리어스카이는 익명의 외부 보안 전문가의 도움을 받았다고도 말했다.

“공격자가 사용한 소스코드를 분석했을 때 한국어 옵션이 활성화 되어 있는 걸 알 수 있었습니다. 또한 문제가 됐던 메일의 악성 첨부파일이 회사 내 이메일 필터링 보호 장치를 우회했다는 것도 꽤나 놀라웠던 발견이었습니다.”

그 외에도 클리어스카이는 “라자루스로 보이는 공격자들이 최근 윈라(WinRAR) 압축 소프트웨어에서 발견된 취약점을 악용하려고 시도한 흔적도 찾았다”고 설명을 추가했다. 라자루스는 윈라 취약점이 여러 해킹 단체들에 의해 활발히 남용되고 있다는 소식이 처음 나왔을 때부터 이름이 언급된 바 있다.

3줄 요약
1. 북한, 사상 최초로 이스라엘 조직 겨냥해 해킹 공격.
2. 군수 업체가 대상이었음. 아직 목적은 정확히 밝혀지지 않고 있음.
3. 공격 분석하는 도중 라이징 선이라는 라자루스의 공격 툴이 나옴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)