지난해 공공기관을 노린 하루 평균 해킹 시도는 1년 만에 36%가량 증가한 162만 건으로 나타났다. 이 중 80%가 북한발 공격으로 밝혀졌다. 북한의 사이버 공격은 김정은 위원장의 지시에 따라 이뤄지는 것으로 분석됐다. 올해는 북한이 공공기관과 금융시장 등을 상대로 대규모 사이버 공격에 나설 가능성이 높다.
북한 사이버 공격의 중심에는 북한 정찰총국 산하의 ‘김수키(Kimsuky)’ 등 다양한 해커부대가 있다. 이 중 ‘라자루스 그룹(Lazarus Group)’은 명성이 높다. 이 해커부대는 지난해 국내 금융보안 소프트웨어(SW) 취약점을 통한 공격으로 혼란을 일으켰다. 올해는 지난해와 같이 제3의 금융보안 SW 공격이 예상된다. 지난해 해외 기업 대상 SW 공급망을 공격한 라자루스는 올해는 국내 공급망을 공격할 수 있다.
2007년 창설된 라자루스는 국내를 비롯해 세계 각국에서 암호화폐 탈취와 랜섬웨어 등 사이버 공격을 수행하고 있다. 2009년 청와대 홈페이지 공격과 2011년 농협 전산망 공격 등 다양한 공격을 수행했다, 2014년 김정은 북한 국무위원장을 소재로 한 영화 ‘더 인터뷰(The Interview)’의 제작사 소니픽처스를 해킹하면서 유명해졌다.
라자루스는 공격 전 최소 1년간의 준비 과정을 가진 것으로 알려졌다. 그동안 침해사례를 분석한 결과 장기간 지속적인 공격 준비를 했다. 목표물의 소프트웨어 소스코드를 분석해 취약점 공격에 이르기까지 약 1년간이 소요된 것으로 파악됐다.
신생 산업의 주요 기업이 라자루스의 공격 타깃이다. 2018년 가상자산 가격이 급등하자 가상자산 거래소를 공격해 가상자산을 탈취했다. 방위산업 수출액이 상승할 때는 관련 기업을 공격해 정보를 탈취했다. 2020년 중국무역 흑자 때는 해양 교역기업과 지난해 누리호 발사 등 우주항공 산업 전환점에는 우주항공 기업을 노렸다.
금융보안 SW를 활용한 사이버 공격은 피해 대상이 매우 넓다. 지난해에는 국내외 약 1000만대 이상의 개인용컴퓨터(PC)에 설치된 금융보안 SW의 제로데이 취약점을 활용 공격했다. 제로데이 공격은 시스템의 취약점을 발견해 대처하기 전에 공격하는 수법이다.
올해도 라자루스는 지난해 공격을 회피한 제3의 금융보안 SW를 사이버 공격 대상으로 삼을 수 있다. SW의 제로데이 취약점을 활용하는 등 공격단계별 기술적 특징을 분석한 공격이다. 부팅 시 자동실행 상태를 유지하는 금융보안 SW는 공격 용이성으로 해커들의 주공격 대상이다.
제로데이 취약점을 100% 방어할 수는 없다. 제로데이 취약점을 최소화하기 위해 보안 취약점이 발생하지 않는 환경을 조성해야 한다. 가시성을 확보해 취약점을 발견하면 신속한 대응이 매우 중요하다. 공격 대상의 사이버 보안 취약성과 잠재적 공격 요소를 지속적으로 발견해 분석하고 모니터링 해야 한다.
올해는 연초부터 북한의 위협 수준이 높아지면서 강력한 사이버 도발이 우려된다. 최근 국정원은 북한 내부에 해킹 인프라가 강화되는 동향을 포착했다. 사회 혼란 야기 목적으로 에너지 기반 시설과 금융, 대민 행정 서비스 등을 마비시킬 수도 있어 완벽한 사전대비태세가 필요하다.
정순채 동국대학교 겸임교수, 서울디지털대학교·경희사이버대학교 객원교수, 법무법인 린 전문위원