카스퍼스키랩, “국방부·ATM 사이버공격 공통점, 라자루스와 연계”

실시간
뉴스

침해사고/위협동향

카스퍼스키랩, “국방부·ATM 사이버공격 공통점, 라자루스와 연계”

디지털데일리 발행일 2017-07-10 10:36:17

최민지

URL복사

[디지털데일리 최민지기자] 카스퍼스키랩(www.kaspersky.co.kr 이창훈 지사장)은 지난해 국방부 사이버공격과 ATM 신용카드 정보 도난 사건 간 공통점을 찾았으며, 북한이 배후로 있는 것으로 알려진 라자루스(Lazarus) 해킹그룹과의 연관 가능성을 발견했다고 10일 밝혔다.

지난해 8월 국방부에 대한 사이버공격으로 3000여개 호스트가 감염됐다. 국방부는 일부 기밀 정보의 누출을 시인한 바 있다. 6개월 후 한국의 한 업체가 관리하는 ATM 60대가 악성코드에 감염돼 2000개 이상의 신용카드 정보가 도난당했고, 대만에서 약 2500달러가 불법 인출됐다.

카스퍼스키랩 연구진은 이 두 사건이 서로 연관돼 있으며, 두 공격에 사용된 악성코드와 기술은 라자루스 소행으로 널리 알려진 초기 공격과 유사하다는 결론을 내렸다.

라자루스는 전세계 기업 및 정부 기관에 치명적 공격을 여러 차례 가한 것으로 악명 높은 해킹 조직이다. 라자루스는 2014년 소니 픽처스 해킹과 2016년 방글라데시 중앙은행의 8100만 달러 도난 사건 등 전세계적 사이버 공격의 배후로 지목 받고 있다.

카스퍼스키랩은 ATM 공격에 사용된 악성코드가 국방부 공격 코드와 동일하다고 발표했다. 공격의 연관성을 검토한 결과, 라자루스 소행으로 알려진 다크서울 악성코드 공격 등과 유사했다. 또, 동일한 암호 해독 루틴과 난독화 기술 사용, 명령제어(C&C) 인프라 중복 등을 근거로 들었다.

박성수 카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT) 수석 보안연구원은 “군 당국 해킹과 ATM 사건 모두 소규모였고 피해도 크지 않았지만 최근 동향이 걱정스럽다는 점을 잘 보여주고 있다”며 “한국은 2013년부터 사이버 스파이 공격의 표적이 되었는데, 순전히 금전적 목적으로 ATM을 노린 것은 이번이 처음”이라고 말했다.

이어 “카스퍼스키랩이 파악한 연관성이 정확하다면, 이번 사건은 라자루스가 불법적 이득을 취하는 쪽으로 화살을 돌렸다는 걸 보여주는 또 하나의 사례가 될 것”이라며 “은행을 비롯한 기타 금융기관은 너무 늦기 전에 안전망을 강화해야 한다”고 조언했다.

<최민지 기자>cmj@ddaily.co.kr