북한과 연계된 해킹 조직 라자루스(Lazarus)가 세계 각지에서 사이버 공격을 벌이고 있어 주의가 요망된다. 특히 가상자산을 표적으로 삼고 있어 물질적인 피해를 양산할 가능성이 있다.
21일 데브옵스(devops)에 따르면 라자루스는 가상자산 지갑을 표적으로 삼아 악성코드를 유포하고 있다. 각 회사 개발자가 실수로 소프트웨어에 악성 코드를 포함시켜 다른 사용자에게 퍼뜨리기를 희망하는 방법을 쓴다.
업계에 따르면 라자루스 그룹의 공급망 공격은 한 단계 진화했고 상당한 적응력을 있다고 평가받는다. 또 이미 가상자산을 노린 라자루스의 해킹 사례는 세계적으로 무수히 많은 것으로 알려졌다.
SK쉴더스(대표 홍원표)는 2024년 주요 보안 이슈 중 하나로 '오르빗 체인 가상화폐거래소 해킹'을 꼽았다. 당시 1000억원 이상 가상자산이 탈취되는 사고가 발생했는데 공격자는 추적 회피를 위해 다른 자산으로 교환 및 분산 저장하는 방법을 사용했다. 당시 공격 배후에 라자루스가 있다는 추정이 나왔다. 결국 오르빗체인 코인은 상장폐지 통지를 받았다.
올해 1월 카스퍼스키의 글로벌 연구 분석팀(GReAT)은 최근 라자루스가 새로운 모듈식 백도어 '쿠키플러스'를 활용해 핵 관련 조직의 직원들을 대상으로 한 사이버 공격을 감행했다고 밝혔다.
해당 공격은 '데스노트'로 알려진 라자루스의 지속적인 캠페인의 하나로 2019년부터 시작돼 가상자산 관련 기업을 주로 표적으로 삼았다. 2024년에는 유럽, 라틴아메리카, 한국, 아프리카의 정보기술(IT) 및 방위 산업 기업들로 대상이 확대됐다. 특히 최근에는 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들이 표적이 됐다.
공격자들은 유명 항공우주 및 방위 기업의 IT 직책을 위한 기술 평가로 위장한 손상된 압축 파일을 통해 악성 코드를 배포했다. 이러한 파일은 주로 링크드인과 같은 구직 플랫폼을 통해 전달된 것으로 추정된다. 감염 체인은 다운로더, 로더, 백도어 등 다양한 악성 소프트웨어를 포함한 복잡한 구조로 이뤄져 있다.
김광연 기자
fun3503@chosunbiz.com