북한 당국의 지원을 받는 것으로 알려진 사이버해킹 조직이 국내 이용자를 상대로 한 전방위 공격에 나서 그 배경에 관심이 쏠린다. 

신종 코로나바이러스(코로나19) 정보부터 대북 전문가, 일반인의 금융정보에 이어 이젠 가상자산을 향한 위협도 늘리고 있는 상황. 보안업계에선 코로나19를 계기로 대내외 악재에 시달리고 있는 북한이 수면 밑에서 이득을 취할 수 있는 사이버공격에 매진하고 있는 것으로 추정한다. 

인터넷뱅킹·비트코인 이어 제약사 직원도 조심해야 

18일 보안업계에 따르면 해외 보안업체 ESET는 최근 라자루스가 국내 이용자들이 많이 사용하는 통합설치 프로그램 '베라포트'에 악성코드를 유입했다고 밝혔다. 베라포트는 국내 인터넷뱅킹 뿐만 아니라 정부 공공기관에서도 자주 활용할 정도로 대중화된 솔루션이다. 보안업계에선 라자루스가 국내 기업의 보안 정보를 탈취, 베라포트에 악성코드 유입 경로를 마련한 것으로 보고 있다.

쉽게 말해 이용자가 베라포트를 설치할 때, 라자루스가 만든 멀웨어가 함께 침투하는 방식이다. 아직 구체적인 해킹 의도는 파악되지 않았지만 업계에선 불특정 다수를 상대로 해킹 공격을 시도할 공산이 큰 만큼, 금전적 목적이 반영된 행보로 추정한다.

앞서 지난 13일 마이크로소프트(MS)는 자사 블로그를 통해 "특정 국가의 지원을 받는 사이버 해커 조직이 유명 백신사와 관련 업체의 정보를 탈취하려 시도했다"고 밝혔다. MS는 "이번 해킹 수법은 표적이 된 기관과 관련된 사람들의 로그인 인증 정보를 훔치는 방식"이라고 분석했다.

실제 보안업계에 따르면 지난 10월 이후 제넥신과 신풍제약 등 국내 제약사를 비롯, 아스트라제네카와 존슨앤존슨 등 주요 제약사를 향한 불특정 다수의 사이버공격이 진행된 것으로 보고 있다. 특히 해커 조직은 코로나19 관련 문서를 활용, 내부에 잠입시켜 정보를 탈취하려던 것으로 전해졌다. 11월 들어서도 과학·방산업체를 중심으로 탈륨의 APT 공격이 급증하고 있어 이같은 주장에 힘이 실린다 탈륨은 일명 '김수키'가 불리는 북한 추정 해킹 조직이다.

아울러 11월 들어 비트코인을 비롯한 가상자산 가격이 급격히 오르자, 가상자산 거래업체를 향한 해킹 공격도 재개된 모습이다. 관제보안업체의 한 관계자는 "지난 15일, 북한 추정 해커 조직이 가상자산 거래업체와 관련 개발사를 상대로 전방위 공격을 수행한 정황이 포착됐다"면서 "가상자산 취급업체는 보안 시스템을 다시 들여다봐야하는 상황"이라고 말했다.

해킹이 갑자기 늘었다? 노하우 쌓인 北 해커는 늘 바빠 

이처럼 북한 추정 해커의 활동량이 급증하고 있는 이유로 크게 내부사정과 외부 이슈 등이 꼽힌다. 외부 이슈로는 코로나19 이후, 대중 무역이 급감하고 있는 가운데 미국 대선 결과 발표가 늦어진 만큼 금전적 이득 확보를 위해 공격량을 늘렸다는 주장이다.

업계의 한 관계자는 "이미 다수의 사례에서 확인할 수 있듯 북한 추정 해커는 금전적 이득이 가장 큰 목적"이라며 "비트코인 가격이 다시 전고점을 향해 가고 있고, 코로나19 이후 원격근무가 활성화되면서 개인 PC의 보안 취약점이 쉽게 포착되고 있다는 것을 염두에 뒀을 것"이라고 추정했다. 여기에 해킹의 경우, 북한 당국의 직접적 지시 근거를 찾기 어려워 정치적 부담도 크지 않은 상황이다. 

일각에선 북한 당국이 그간 1만명에 가까운 해킹 전문요원을 육성해온 만큼, 특별한 이슈로 인해 해킹 공격이 늘어난 것이 아니라는 주장을 내놓는다.

업계의 또다른 관계자는 "미국 육군이 발간한 보고서를 살펴보면, 북한은 최소 6000명 이상의 해커와 전문요원을 확보하고 있고, 이들은 북한 뿐만 아니라 러시아 등 전세계에서 활동 중"이라며 "코로나19와 관계 없이 그간의 투자 성과가 이제 빛을 보고 있는 것으로 보인다"고 분석했다. 

이수호 기자 lsh5998688@techm.kr