북한 해커조직으로 알려진 '라자루스'가 신종 해킹툴로 공급망 공격 능력을 증강하고 있다는 분석이 나왔다.

러시아 보안업체 카스퍼스키는 26일(현지시간) 발간한 올해 3분기 지능형지속위협(APT) 보고서에서 라자루스 활동을 소개하며 이같이 지적했다.

카스퍼스키는 라자루스가 올해 5월 라트비아 정보통신 업체에 이어 6월 한국 싱크탱크를 겨냥해 신종 해킹툴을 이용했다고 밝혔다.

이 해킹툴은 '블라인딩캔 원격가동 트로이목마'(BlindingCan RAT)로 불리는 북한 악성코드를 개량한 변종인 것으로 파악됐다.

카스퍼스키는 "우리 조사 결과를 보면 라자루스가 공급망 공격 역량을 구축하는 정황이 나타난다"고 설명했다.

이 업체는 한국 싱크탱크 공격이 감염사슬이 한국의 적법한 보안 소프트웨어에서 비롯된 것으로 나타났다고 밝혔다.

공급망 공격은 소프트웨어 제조업체나 서비스 공급업체 등 신뢰를 받는 업체에 침투해 고객사 등 연계 단체를 찾아 공격하는 해킹 수법이다.

최근 미국에서는 러시아 해커 등이 배후로 추정되는 외국 해킹세력의 공급망 공격 사례가 빈발해 안보당국에 비상이 걸린 상태다.

카스퍼스키는 라자루스가 올해 6월 다중 플랫폼 프레임워크 마타(MATA) 악성코드로 방위산업을 공격했다는 내용도 보고서에 담았다.

카스퍼스키는 "라자루스가 고객 데이터베이스 탈취, 랜섬웨어 확산 등 사이버범죄와 같은 의도를 지니고 다양한 산업들을 공격하는 데 마타를 쓰다가 이제 사이버 정보수집의 목적으로도 마타를 사용했다"고 밝혔다.

보안전문업체 '스레트포스트'(threatpost)는 마타를 이용하면 윈도, 리눅스, 맥OS 등 컴퓨터 운영체계 3개를 공격할 수 있다고 보도했다.

라자루스는 북한군 정찰총국과 연계된 것으로 추정되는 집단이다.

이 해커조직은 2014년 북한 체제를 조롱한 영화를 제작한 미국 소니픽처스를 해킹한 의혹이 불거지면서 국제사회에 잘 알려졌다.

라자루스는 2016년 방글라데시 중앙은행 해킹, 2017년 랜섬웨어 '워너크라이' 유포, 2019년 인도 현금인출기 공격 등의 배후로도 의심을 받고 있다.
 

Fn투데이는 여러분의 후원금을 귀하게 쓰겠습니다.

전성철 기자 다른기사 보기