국내 최초 ATM 악성코드 유포 사건이 그간 수차례 '배후에 북한이 있다'고 알려진 해커집단의 소행이라는 분석 결과가 나왔다. 관련 연구팀은 같은 해커집단이 지난해 한국 군 당국을 겨냥한 사이버공격도 저질렀을 것이라 결론내렸다. 러시아 보안업체 카스퍼스키랩의 진단이다.
10일 카스퍼스키랩은 한국 군 당국에 대한 2016년 사이버 스파이 공격과 ATM 60대가 악성 코드에 감염되어 2천개가 넘는 신용카드 정보가 도난 당한 사건에 대한 연구 결과를 이같이 전했다.
지난해 8월 한국 국방부에 대한 사이버 공격으로 3천개 가량의 호스트가 감염된 사건이 발생했다. 국방부는 그해 12월 해당 사건을 언론에 공개하면서 일부 기밀 정보의 누출을 시인했다. 이어 지난 3월 한국의 한 업체가 관리하는 ATM 60여대가 악성코드에 감염됐다. 금융거래용 카드 2천500개의 상세 정보가 도난당했다. 대만에서 이들 계좌로 미화 2천500달러 가량이 불법 인출됐다.
카스퍼스키랩 측은 조사 결과 ATM 해킹에 사용된 악성코드와 2016년 8월 한국 국방부 공격 코드가 동일하다고 결론내렸다. 연구진은 또 이들 공격과 이전 해킹 공격의 암호해독루틴, 난독화 기술, 명령제어 인프라 중복, 코드 유사성 등을 근거로 '라자루스그룹'의 소행으로 알려진 '다크서울' 공격 등 기존 악성코드 공격과도 유사하다는 점을 발견했다.
라자루스그룹은 지난 2014년 소니픽처스 해킹, 2016년 방글라데시 중앙은행 8천100만달러 도난사건 등 세계적 사이버공격 배후로 지목된 사이버범죄조직이다. 앞서 미국 연방수사국(FBI)과 미국 사이버보안업체 시만텍 등에 의해 북한을 배후로 뒀다고 지목됐던 해커그룹이다.
하지만 카스퍼스키랩은 국내 최초 ATM공격이나 국방부 사이버 공격의 배후가 북한이라고 직접 언급하지는 않았다.
카스퍼스키랩 글로벌위협정보분석팀(GReAT) 박성수 수석보안연구원은 "한국은 2013년부터 사이버스파이공격의 표적이 됐는데 순전히 금전적 목적으로 ATM을 노린 것은 이번이 처음"이라고 설명했다.
관련기사
- "국내 방산업체 공격 일부 조직에 한국인 가담 가능성"2017.07.10
- "사이버공격 배후 찾기는 낭비다"2017.07.10
- "워너크라이 공격, 북한 배후로 둔 해커집단 소행"2017.07.10
- 전직 美해군 4성장군 "북한 사이버공격 목적은…"2017.07.10
박 연구원은 또 "우리가 파악한 연관성이 정확하다면 이 사건은 라자루스그룹이 불법적 이득을 취하는 쪽으로 (활동) 방향을 틀었다는 걸 보여주는 사례"라며 "은행을 비롯한 기타 금융 기관은 너무 늦기 전에 안전망을 강화해야 한다"고 권고했다.
카스퍼스키랩은 보안위협을 완화하기 위한 권고사항 5가지를 제시했다. 첫째, ATM의 논리적, 물리적 보안과 사기방지조치를 도입한다. 둘째, 의심스러운 활동을 결제기기 인프라에서 감지할 수 있는 다층적 보안솔루션과 ATM 및 POS 기기의 망분리를 도입한다. 셋째, 매년 보안 감사 및 침투 테스트를 실시한다. 넷째, 위협 인텔리전스에 적극 투자한다. 다섯째, 의심스러운 이메일을 가려낼 수 있도록 직원 교육을 실시한다.
