北 라자루스, 한국 공급망 노렸다…`오퍼레이션 싱크홀`이란?

실시간
뉴스

보안

北 라자루스, 한국 공급망 노렸다…'오퍼레이션 싱크홀'이란?

디지털데일리 발행일 2025-04-24 09:02:05

김보민 기자

URL복사

카스퍼스키, 이노릭스 취약점 캠페인 분석…KrCERT 신고 완료

[디지털데일리 김보민기자] 북한 해킹 조직 라자루스가 한국 공급망을 대상으로 사이버 공격을 가했다는 조사 결과가 나왔다. 글로벌 보안기업은 이번 공격을 '오퍼레이션 싱크홀'이라고 부르며, 담당 조사 기관에 신고를 완료했다고 발표했다.

카스퍼스키(지사장 이효은)은 자사 글로벌 리서치 및 분석팀(GReAT)이 라자루스 그룹의 신규 사이버 공격을 발견했다고 24일 밝혔다. 신규 공격은 한국의 소프트웨어, 정보기술(IT), 금융, 반도체, 통신 등 최소 6개 조직을 겨냥하며 공급망 전반의 취약점을 노린 것으로 나타났다.

2009년 전후 활동을 시작한 라자루스는 자금과 조직력이 탄탄한 해킹 조직으로 알려졌다. 카스퍼스키는 이번 공격 캠페인을 '오퍼레이션 싱크홀(Operation SyncHole)'이라고 명명했다.

이번 캠페인은 금융보안 프로그램을 통해 악성코드를 설치하는 '워터링 홀(Watering Hole)' 방식과, 서드파티 소프트웨어 취약점 악용 기법을 결합한 것이 특징이다. 특히 이노릭스 에이전트의 원데이 취약점(하루 차이로 공개된 취약점)을 악용한 정황이 포착됐다.

이노릭스 에이전트는 행정 및 금융 시스템 내에서 보안 파일을 전송하기 위해 사용하는 브라우저 통합형 서드파티 도구다. 공격자는 이 취약점을 활용해 측면 이동을 가능하게 하고, 추가 악성코드를 설치했다.

그 결과 라자루의 대표 악성코드인 '쓰레트니들(ThreatNeedle)'과 'LPE클라이언트(LPEClient)'가 내부 네트워크에 배포돼, 장악력을 강화했다. 해당 취약점은 '아가멤논(Agamemnon)' 다운로더를 통해 전파됐고, 이노릭스의 취약 버전을 겨냥했다.

GReAT는 악성코드 행위 분석 중, 임의 파일 다운로드 제로데이 취약점을 추가로 발견했고 실제 공격자가 활용하기 전 사전 탐지했다고 설명했다. 카스퍼스키는 해당 문제를 한국인터넷진흥원 'krCERT'와 공급사에 신고했고, 해당 소프트웨어는 패치 버전으로 업데이트됐다. 취약점은 'KVE-2025-0014' 식별자로 등록됐다.

카스퍼스키는 국내 6개 조직을 넘어, 실제 피해 조직 수가 더 많을 수 있다고 점쳤다. 이효은 카스퍼스키 한국지사장은 "라자루스와 같은 위협은 서드파티 소프트웨어의 취약점을 악용하여 핵심 산업에 대한 정교한 공격을 감행하고 있고, 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례"라고 말했다.

이어 "과학 기술이 빠르게 발전하고 있는 만큼 정부와 민간 기업은 더욱 긴밀히 협력하여 위협 인텔리전스와 리소스를 공유함으로써 국가적 차원의 디지털 방어를 강화해야 한다"며 "조직에서도 취약점을 패치하는 것에서 벗어나 소프트웨어 환경의 보안 상태를 지속적으로 모니터링하고 평가하는 등 보다 적극적인 접근 방식을 채택해야 한다"고 제언했다. 그러면서 "사이버 보안은 사회 전체의 문제이며, 공중의 보안 의식을 제고하여 안보와 경제 안정을 함께 지켜 나가야 한다"고 강조했다.

한편 카스퍼스키 연구진은 이번 이노릭스 취약점 전에도, 한국을 대상으로 한 후속 공격에서 쓰레트니들 등 변종 사용을 포착한 바 있다. 이고르 쿠즈네초프 카스퍼스키 GReAT 디렉터는 "이번 분석 결과는 더 큰 보안 문제를 시사한다"며 "특히 지역 특화 소프트웨어나 구형 시스템에 의존하는 환경에서는 서드파티 브라우저 플러그인이나 보조 도구들이 공격 표면을 크게 넓힌다"고 말했다. 이어 "이런 도구들은 대개 높은 권한으로 실행되고 메모리에 상주하면서 브라우저와 밀접하게 상호작용하기 때문에, 최신 브라우저보다 공격자들이 노리기에 더 쉽고 매력적인 대상이 되곤 한다"고 부연했다.