북한의 지원을 받는 것으로 추정되는 해커 그룹이 국내 한 소프트웨어 업체의 솔루션 취약점을 악용해 정찰 활동을 수행 중이라는 정황이 포착됐다.
북한 해커 그룹 ‘라자루스'의 하부 조직으로 알려진 안다리엘은 그동안 한국 정부 및 금융기관 웹 사이트에서 사용되는 액티브X 모듈의 취약점을 악용한 사이버 공격을 수년간 펼쳐왔다. 이번에는 그 형태를 달리해 인터넷 익스플로러 외에도 크롬 등 다양한 웹 브라우저에서 작동하는 액티브X 모듈로 대상을 확장한 것으로 분석된다.
트렌드마이크로와 이슈메이커스랩은 특히 안다리엘이 최근에는 기존 액티브X 외에 국내 대부분 지방자치단체 웹 사이트에서 채택한 음성 변환 솔루션의 취약점을 이용해 악성 스크립트를 주입했다가 삭제하는 등 정찰 활동을 펼치는 정황을 포착하고 이들의 동향에 주목 중이다. 이러한 정찰 활동은 향후 공격을 위한 사전 준비 단계일 수 있어 해당 소프트웨어 업체에 패치를 요청한 상태다.
장성민 트렌드마이크로 침해대응센터장은 “한국에서 개발한 국내용 소프트웨어의 경우 글로벌 사용자가 없는 관계로 이를 집중적으로 노린 북한 등 타국 해커에 의해 취약점이 발견될 수 있다"며 “취약점이 곧 악용될 것으로 예측될 경우 해당 개발사의 신속한 패치가 요구된다"고 말했다.