지난해 우리나라 군에서 발생한 보안 사고와 지난 3월 발견된 청호이지캐시의 ATM 악성코드 감염사고가 같은 공격 그룹의 소행이거나 연관성이 있다는 의혹이 제기됐다. 이 공격 그룹은 최근 전 세계를 위협한 워너크라이 랜섬웨어 공격 그룹이 사용하는 것과 유사한 공격 방식을 채택했다.
카스퍼스키랩은 한국 군 해킹과 ATM 해킹 사고는 워너크라이 랜섬웨어 공격 배후로 추정되는 ‘라자러스(Lazarus)’의 초기 공격 소행과 유사하다고 분석했다. 라자러스는 다크서울 공격그룹과 동일하거나 연관성 있는 그룹으로 알려져 있으며, 지난해 방글라데시 중앙은행 해킹으로 8100만달러의 수익을 올리는 등 전 세계 정부 기관·민간기업에 많은 피해를 일으키고 있다.
동일한 암호 해독 루틴·난독화 기술 사용
지난해 8월 우리나라 국방부는 사이버 공격을 당해 3000개 가량의 호스트가 악성코드에 감염됐으며, 12월 이 사실이 언론에 의해 공개되자 국방부는 일부 기밀정보가 누출됐다고 발표했다.
ATM 해킹 사고는 VAN 사업자 청호이지캐시가 관리하는 ATM 중 60대 이상이 악성코드에 감염돼 2500개 이상 신용카드 정보가 도난당했으며, 대만 등 해외에서 2500달러 규모의 부정인출이 확인됐고 중국, 태국 등에서 부정인출 시도가 발견됐으나 승인이 거절됐다.
카스퍼스키랩은 이 두 사고가 서로 연관돼 있으며, 공격에 사용된 악성 코드와 기술은 라자러스 그룹의 소행으로 알려진 초기 공격과 유사하다는 결론을 내렸다.
군과 ATM 해킹 사고는 라자러스가 사용했던 암호 해독 루틴과 난독화 기술을 사용하고, C&C 인프라가 중복되며, 코드 유사성이 있다는 것이다.
박성수 카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT) 수석 보안 연구원은 “군 당국 해킹과 ATM 사건 소규모였고 피해도 크지 않았지만 최근 동향이 걱정스럽다는 점을 잘 보여준다”며 “은행을 비롯한 기타 금융 기관은 너무 늦기 전에 안전망을 강화해야 한다”고 지적했다.
박 연구원은 “한국은 2013년부터 사이버 스파이 공격의 표적이 되었는데, 순전히 금전적 목적으로 ATM을 노린 것은 이번이 처음이다. 카스퍼스키랩이 파악한 연관성이 정확하다면 이번 사건은 라자러스 그룹이 불법적 이득을 취하는 쪽으로 화살을 돌렸다는 것을 보여주는 또 하나의 사례가 될 것”이라고 설명했다.
한편 카스퍼스키랩은 이와 같은 위험성을 줄이기 위해 종합적이고 다층적인 보안 솔루션을 마련하고, 매년 보안 감사와 침투 테스트를 실시할 것을 권고했다. 특히 ATM과 인터넷 뱅킹 보안에 대한 특별 섹션을 포함한 사기 방지 전략을 전사적으로 도입해야 하고, ATM의 논리적·물리적 보안과 이상거래탐지 조치를 함께 고려해야 한다고 설명했다.
