경찰, “해킹 징후 사전에 포착돼 실제 피해 발생하지 않아”
[서울이코노미뉴스 김보름 기자] 지난해 11월 금융보안인증 소프트웨어 ‘이니세이프’ 해킹 사건은 북한 정찰총국과 연계된 것으로 알려진 해커 조직 ‘라자루스(Lazarus)’ 소행으로 확인됐다고 경찰청 국가수사본부가 18일 밝혔다.
경찰에 따르면 지난해 11월 북한 해커 조직은 공공기관, 방위산업체 등 국내외 주요 기관 61곳의 컴퓨터 207대를 해킹하고 악성코드를 퍼뜨렸다. 은행과 공공기관에 접속할 때 필수적으로 설치해야 하는 금융보안인증 소프트웨어의 취약점을 악용했다.
당시 경찰은 국가정보원, 한국인터넷진흥원(KISA) 등과 함께 해킹 조직의 실체를 파악하기 위해 수사에 착수했다.
그 결과, 북한은 2021년 4월 국내 유명 금융보안인증 업체를 해킹해 소프트웨어 취약점을 찾아냈고, 이후 공격용 웹 서버, 명령‧제어 경유지 등 공격 인프라를 장기간 치밀하게 준비한 것으로 밝혀졌다.
해킹에 악용된 소프트웨어는 전자금융 및 공공부문 인증서인 '이니세이프크로스웹 EX V3 3.3.2.40' 이하 버전으로, 국내외 1000만 대 이상의 기관과 업체, 개인 PC에 설치된 것으로 추정된다.
해킹 기법은 ‘워터링홀(watering hole‧물 웅덩이)’이었다. 금융보안인증 소프트웨어가 설치된 컴퓨터가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드를 심는 방식이다.
경찰은 공격 인프라 구축 방식, 워터링홀 수법, 악성코드의 유사성 등을 토대로 이번 사건을 라자루스의 소행으로 결론을 내렸다.
라자루스는 당초 해킹된 PC의 관리자 권한을 뺏어 이른바 '좀비 PC'로 만든 뒤 사이버 공격을 본격 감행할 계획이었지만, 해킹 징후가 사전에 포착돼 실제 피해는 발생하지 않았다고 경찰은 설명했다.
라자루스는 2014년 미국 소니픽쳐스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 ‘워너크라이’ 유포 사건 등의 배후로 의심 받고 있다.
정부의 대북 독자제재 대상에도 포함돼 있다.
경찰 관계자는 “북한 해킹 수법이 날로 고도화하고 있어 보안인증 프로그램을 최신 버전으로 업데이트해야 피해를 최소화할 수 있다”면서 “유사 해킹 시도에 대한 수사도 계속 진행할 계획”이라고 말했다.
