Home > 전체기사

북한의 라자루스, 여러 플랫폼에서 통하는 공격 도구 새로 개발

  |  입력 : 2020-07-23 13:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
윈도우, 맥OS, 리눅스 등에서 작동하는 멀웨어...모듈 구성으로 유연하기까지
사물인터넷 장비를 염두에 둔 흔적 나타나...다양한 오픈소스 활용해 개발한 듯


[보안뉴스 문가용 기자] 북한의 고급 해킹 단체인 라자루스(Lazarus)가 새로운 ‘멀웨어 프레임워크’를 개발했다는 소식이다. 이 프레임워크는 윈도우, 맥OS, 리눅스 등 여러 종류의 시스템에서 작동하도록 만들어졌으며, 최소 10곳이 넘는 조직들이 이미 피해를 입은 상황이라고 한다. 이에 대해 보안 업체 카스퍼스키(Kaspersky)가 발표했다.

[이미지 = utoimage]


이 프레임워크를 사용한 공격이 현재까지 독일, 인도, 일본, 한국, 폴란드, 터키에서 발생하고 있다고 한다. 주로 전자상거래 기능을 가진 기업체들과 인터넷 서비스 제공업체, 소프트웨어 개발사들이 피해를 입고 있다고 한다. 카스퍼스키의 유리 나메스트니코프(Yury Namestnikov)는 “단 하나의 프레임워크로 다양한 플랫폼을 공격할 수 있다는 건, 북한이 많은 자원을 투자했다는 뜻”이라고 설명한다.

“물론 여러 플랫폼에서 작동하는 공격 프레임워크가 처음 등장한 건 아닙니다. 하지만 흔한 것도 아니죠. 이번에 라자루스가 개발한 프레임워크는 약 15개의 플러그인들을 동시에 로딩할 수 있도록 제작되었습니다. 이 15개 모듈이 있어 라자루스는 사실상 ‘다목적 백도어’를 보유하게 된 것이나 다름이 없고요.”

라자루스는 북한 정권과 밀접한 관련이 있는 해킹 전문 단체다. 북한 정권에 이익이 되는 공작을 펼친다. 그렇기 때문에 일반적인 APT 단체답게 정보 수집과 정찰을 주로 실시하지만, 이례적으로 돈을 훔치는 데 혈안이 되어 있기도 하다. 북한 정권이 심각한 국고란에 시달리고 있기 때문이다. 현재 무역 제재를 받고 있는 북한이 해킹을 통해 외화를 벌어들이고 있다는 비판은 국제 사회에서 공공연하게 나오고 있다.

이번에 카스퍼스키가 발표한 라자루스의 새 프레임워크는 마타(MATA)라고 하며, 데이터 탈취와 랜섬웨어 배포 등에 활용되는 중이다. “공격 범위와 깊이를 늘리기 위해 라자루스가 어마어마한 투자를 한 것으로 보입니다. 돈과 데이터를 모두 노린다는 기존 목표를 그대로 가져가기 위해서입니다.” 카스퍼스키의 수석 보안 연구원인 박성수 씨의 말이다.

카스퍼스키는 현재까지 마타 프레임워크에 당한 기업들을 10군데 조금 넘게 찾아냈다. 공격은 2018년부터 시작된 것으로 보인다. 다양한 플러그인을 다잡아 운영하는 오케스트레이터, 즉 가장 중요한 구성 요소는 마타넷(MataNet)이라고 불린다. 각 플러그인은 이름 앞에 mata_라는 접두사가 붙는다.

이 프레임워크는 오픈소스 프록시 서버를 기본 바탕으로 하는 것으로 분석됐다. 오픈소스로 풀린 것을 라자루스가 가져다가 심화시킨 것이다. 또한 리눅스 기반 장비들 중 인터넷에 연결하는 기능을 가진 것들에서 작동하도록 설계가 되기도 했다. 즉, 라자루스 공격자들이 사물인터넷을 염두에 두고 작업을 했다는 뜻이다.

카스퍼스키의 나메스트니코프는 “한 피해자 기업의 상황을 분석하면서 공격자의 의도를 파악할 수 있었다”며 “라자루스가 마타 멀웨어를 피해자의 시스템에 삽입한 뒤 이를 통해 피해자의 데이터베이스를 검색하고, 데이터베이스에 여러 가지 요청문을 전송했다”고 설명했다. “그 목적은 고객 명단을 확보하는 것”이었다고 한다.

오케스트레이터인 마타넷은 TLS 1.2 프로토콜을 사용해 통신 내용을 암호화하고 있기도 했다. 소프트웨어의 일부 구성 요소들은 정상적인 소프트웨어 배포 사이트들에서 쉽게 찾을 수 있는 것들로, 라자루스 내 개발자들이 여러 가지 오픈소스를 적극 활용한다는 또 다른 증거가 되기도 한다.

최근 라자루스는 독자적인 개발 행위와 돈 주고 구매할 수 있는 보편적 해킹 도구들을 조화롭게 사용하는 모습을 보여주고 있다. 특히 트릭봇(Trickbot)이라는 해킹 단체의 악성 서비스를 이용한 초기 고객이기도 하다. 당시 트릭봇 운영자들은 앵커(Anchor)라는 도구를 가지고 여러 중요 조직들에 대한 접근 경로를 확보한 후, 이를 판매하고 있었는데 라자루스가 구매했었다.

3줄 요약
1. 북한의 라자루스, 다양한 플랫폼에서 작동하는 멀웨어 프레임워크 개발.
2. 이 프레임워크의 이름은 마타로, 이미 10곳 넘은 조직에서 피해가 발생했음.
3. 한국도 주요 피해국 중 하나. 주로 소프트웨어 개발사나 온라인 상거래 플랫폼 노림.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)