북한과 연관된 것으로 지목된 사이버 공격 단체가 유포한 신종 악성 프로그램이 지난주에 이어 또다시 포착됐다는 분석이 나왔습니다. 전문가들은 이들이 사이버 공격을 발전시키고 다양화하려는 시도로 보인다고 지적했습니다. 김시영 기자의 보도입니다.
북한 정찰총국의 통제를 받는 사이버 공격 단체 라자루스 그룹이 새로운 종류의 랜섬웨어를 유포한 정황이 포착됐습니다.
미국 사이버 보안업체 ‘캐스퍼스키(Kaspersky)’는 28일 라자루스 그룹이 유포한 ‘VHD’라고 불리는 신종 랜섬웨어를 발견했다고 밝혔습니다.
그러면서 지난 3월 프랑스와 아시아의 일부 기업들이 유사한 공격을 받은 뒤 이 랜섬웨어 유포를 추적하고 감시해 왔다고 설명했습니다.
랜섬웨어란 컴퓨터를 감염시켜 사용자의 접근을 제한하고, 접근을 허용하는 대가로 금전을 요구하는 악성 프로그램의 한 종류입니다.
이번에 발견된 VHD 랜섬웨어는 악성 코드가 공격 대상 컴퓨터가 연결된 통신망에 퍼지면, 이와 연결된 다른 컴퓨터들의 겁근 권한과 IP 주소 내역 등 모든 정보가 빠져나가도록 설계됐습니다.
캐스퍼스키는 기존에 라자루스 그룹 등에서 써 온 지능형 지속 공격(APT) 방식의 특징과 VHD의 방식이 매우 유사하다는 데 주목했습니다.
이번에 VHD 랜섬웨어를 포착한 이반 퀴아트코프스키 캐스퍼스키 사이버 안보 선임연구원은 29일 VOA에, 일종의 ‘뒷문(backdoor)’을 통해 VHD 유포가 이뤄졌다는 점에 주목한다고 말했습니다.
[녹취:퀴아트코프스키 선임연구원] “This subject (VHD) has been deployed by a backdoor that we call the MATA framework, we know that this framework belongs to North Korean hackers because it contains code shared with a previous backdoor called ‘Manuscripts’ that we had already attributed to North Korean hackers. And so, seeing these tools deployed the VHD ransomware indicates to us that the VHD ransomware also belongs to North Korean hackers.”
그러면서 ‘마타 체제’로도 불리는 이 뒷문은 기존에 북한 해커의 소행으로 지목됐던 ‘매뉴스크립트’라 불린 ‘뒷문’ 구축에 사용된 코드를 포함한다는 점에서 북한 해커의 소행으로 보인다고 설명했습니다.
퀴아트코프스키 선임연구원은 북한이 랜섬웨어 방식을 쓴 것은 2017년 5월 74개국에 피해를 입힌 ‘워너크라이’ 공격 이후 처음이라고 지적했습니다.
매튜 하 민주주의수호재단 사이버안보 담당 연구원은 29일 VOA에, 이번 공격은 북한의 지원을 받는 해커들이 사이버 범죄 활동을 발전시킨 것으로 봐야 한다고 밝혔습니다.
[녹취:하 연구원] “I think this shows that the North Korean government state sponsored hackers are improving their cyber criminal activities. Normally we have seen them targeting banks and cryptocurrency exchanges using methods by targeting, Now, we've also seen reports of North Korean hackers using different methods, which include, you know, I saw something recently about the use of the VHD ransomware.”
지금까지는 보통 은행과 가상화폐교환소 등을 노린 공격이었지만, 이제는 VHD 랜섬웨어 공격 등 다른 방법들도 볼 수 있게 됐다는 겁니다.
하 연구원은 미 국토안보부의 사이버 안보 주의보나 유엔 전문가패널 등의 압박을 피하기 위해 사이버 공격 수단을 다양화하려는 시도라고 분석했습니다.
제니 전 애틀랜틱 카운슬 사이버 국정계획 담당 연구원은 북한의 사이버 활동이 국제적 표적을 대상으로 24시간 이뤄지고 있다고 강조했습니다.
[서면답변:전 연구원] “I would not call it 'resuming' - they are clearly working around the clock and they target globally. Rather than how much the VHD ransomware made currently, It's the possibility that Lazarus Group might improve tactics towards targeted ransomware in the future that is concerning. If left unchecked, this will remain a large loophole in the current international sanctions regime against North Korea's nuclear and missile program.”
그러면서 현재 VHD 랜섬웨어가 현재 얼마나 만들어졌는지 보다 라자루스 그룹이 미래에 특정 표적을 겨냥한 랜섬웨어 전술을 더욱 발전시킬 수 있다는 가능성이 우려된다고 지적했습니다.
이어 이 문제가 방치된다면, 북 핵과 미사일 프로그램을 겨냥한 현재의 국제 대북 제재망에 큰 구멍이 생길 것이라고 덧붙였습니다.
사이버범죄 전문가인 비탈리 크레메즈 어드밴스드 인텔리전스 유한회사 최고경영자는 VOA에, 국가 사이버 공격자들이 곧 있을 미 대선 등 많은 일정들을 앞두고 행동을 재개하거나 늘리는 것일 수 있다고 분석했습니다.
[녹취:크레메즈] 0120 “The U.S. have elections coming up soon so there's many events so the national actors are resuming elevating their activities currently. And I think Lazarus has, has been always the group that actually never really stopped being active but we've seen the periods of time where the attacks become invisible. So I think this is one of the spaces where their known attacks and operations being disclosed.”
현재까지는 그들이 보이지 않는 공격을 감행한 시기로 봐야 하며, 이번 VHD 랜섬웨어 공격은 그들의 공격과 작전이 노출된 사례 중 하나라는 겁니다.
라자루스 그룹은 지난해 미 재무부 해외자산통제실(OFAC)에 의해 북한 정찰총국의 통제를 받는 해킹그룹으로 지목된 바 있습니다.
또 미 법무부는 2014년 미 소니영화사 해킹 사건과 2017년 워너크라이 공격을 실행한 혐의로 라자루스 그룹 소속 북한 해커 박진혁을 기소한 바 있습니다.
한편 미 사이버사령부는 이번에 발견된 VHD 공격 활동에 대한 파악 여부 등을 묻는 VOA의 질문에 대답하지 않았습니다.
VOA뉴스 김시영입니다.
