실제 연관성 또는 가짜 작전 가능성 제시…피해 예방 위한 주의 필요
카스퍼스키랩은 2016년 방글라데시 중앙은행에서 발생한 8100만 달러 도난 사건의 용의자로 지목받고 있는 해킹 조직 ‘나자로(Lazarus)’의 활동에서 북한 IP를 발견했다고 4일 밝혔다.
카스퍼스키랩은 동남아 및 유럽 은행에 ‘나자로’가 남긴 정보에 대한 포렌식 분석을 수행하면서, ‘나자로’가 사용하는 악성 도구와 활동 방식 등을 조사했다. 그 결과 2015년 12월부터 대한민국, 방글라데시, 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 폴란드, 이라크, 에티오피아, 케냐, 나이지리아, 우루과이, 가봉, 태국 및 기타 여러 국가에 소재한 투자 기업의 카지노 소프트웨어 개발자, 암호화 화폐 업체, 금융기관에서 나자로의 조직 활동과 연관성이 있는 악성 코드 샘플을 발견했다.
카스퍼스키랩에 의하면 ‘나자로’ 해커들은 흔적을 모두 지우는 등의 방식으로 완전 범죄를 꿈꿨지만, 자신들이 침투했던 한 서버에서 중요한 정보를 남기는 치명적인 실수를 범했다. 악성 코드 C&C 서버에 북한의 IP 주소로 접속된 흔적이 발견된 것이다.
이에 대해 카스퍼스키랩 측은 공격자가 북한의 해당 IP 주소와 연관이 있거나 다른 누군가의 정교한 가짜 작전일 가능성을 염두에 뒀다. 또한 북한에서 실수로 C&C URL에 방문했을 가능성도 배제하지 않았다.
이창훈 카스퍼스키랩코리아 지사장은 “전 세계 은행, 카지노, 투자기업의 임원들은 나자로 해킹 조직을 예의주시하는 것이 필요하다”고 말했다.
저작권자 © 데이터넷 무단전재 및 재배포 금지
