북한과 연계된 라자루스(Lazarus)가 지난해 발생한 인터넷뱅킹 보안인증 프로그램 해킹 사건 배후로 확인됐다. 라자루스는 2014년 소니픽처스와 2016년 방글라데시 중앙은행을 공격해 8100만달러를 해킹한 북한의 국제 해커조직이다. 이 조직은 금융보안인증 소프트웨어의 취약점을 노려 컴퓨터 207대를 해킹하여 악성코드를 심은 것으로 알려졌다.
지난달 경찰청 국가수사본부는 라자루스가 2021년 4월부터 1년여 동안 국내 유명 보안인증업체를 해킹했다고 밝혔다. 해킹한 보안인증 프로그램을 이용 사이버 공격을 준비한 것이다. 라자루스는 지난 2월 우리의 사이버 분야 대북 독자 제재 대상에 포함됐다.
라자루스는 지난해 6월부터 인터넷 컴퓨터가 특정 언론사 사이트에 접속하면 자동으로 악성코드가 설치되는 워터링홀(Watering Hole) 기법으로 공격했다. 이 공격은 사자 등 육식동물이 초식동물을 공격하기 위해 물웅덩이 근처에서 매복하고 있는 형상을 빗대어 ‘표적 공격’이라고도 한다.
이 공격으로 국내 언론사 8곳을 포함 61개 기관의 컴퓨터를 해킹한 것으로 나타났다. 1000만 대 이상의 국내 기관이나 업체, 개인 컴퓨터의 보안인증 프로그램을 이용해 ‘좀비 PC’를 만들어 대규모 대남 사이버 공격을 준비한 정황도 확인됐다. 이들 컴퓨터는 순식간에 악성코드가 심어지는 방식의 공격에 당한 것이다.
국가정보원은 3월 북한 해킹 관련 대국민 보안 권고를 공지했다. 지난달 초에는 경기 성남시 소재 사이버안보협력센터에서 과학기술정보통신부와 한국인터넷진흥원 등 유관기관이 긴급회의를 개최했다. 국정원은 보안 소프트웨어 확인 과정에서 인증서 관리 프로그램의 보안 취약점을 확인하고, 악성코드의 작동 원리 등을 분석하여 보안 패치 개발을 완료했다.
대북 제재로 자금줄이 막힌 북한은 해킹으로 외화벌이를 하는 것으로 알려졌다. 외교안보연구소 자료에 의하면 북한은 2004년부터 시작한 사이버 공격이 2021년까지 300배 이상 늘어났다. 사실상 북한은 지난해부터 수시로 발사하는 미사일보다 사이버 공간에서 더욱 다양한 사이버 공격을 하고 있다.
지난 1월에는 국정원과 미국 조사관들이 경기 성남 판교의 북한 암호화폐 세탁 현장을 급습한 것으로 알려졌다. 한국과 미국 공동 조사단은 북한 해커들이 미 암호화폐 업체 하모니(Harmony)를 공격해 탈취한 1억달러(약 1300억원) 상당을 추적해 100만달러(약 13억원) 상당은 찾았다. 북한은 탈취한 암호화폐를 미사일 개발에 사용한 것으로 추정된다.
지난달 26일 윤석열 대통령은 바이든 미국 대통령과 워싱턴 정상회담에서 북한의 핵과 미사일 개발의 자금줄인 북한의 불법 사이버 활동의 적극적인 저지에 합의했다. 한국과 미국의 전략적 사이버 안보 협력 프레임워크(이하 협력 문서)이다. 협력 문서는 상호 신뢰를 바탕으로 정보 공유 확대와 사이버 적대세력 억지, 핵심 기반 시설에 대한 사이버 안보 증진, 사이버 범죄 대처, 사이버 공간 내 악의적인 행위자 대응 수단 개발 등 다양하다. 이번 한미 정상회담 합의로 북한의 국내를 비롯한 세계적인 사이버 공격 약화를 기대한다.
정순채 동국대학교 겸임교수, 서울디지털대학교·경희사이버대학교 객원교수, 법무법인 린 전문위원