최근 은행을 해킹해 돈을 빼가는 사이버 범죄가 연쇄적으로 발생하는 가운데, 한 보안 업체가 이 해커 집단의 정체를 밝힐 단서를 발견했다고 주장했다.
'라자러스 그룹(Lazarus Group)'으로 불리는 이들 해커 집단은 지난 2월 방글라데시 중앙 은행에서 스위프트(SWIFT) 소프트웨어를 이용해 8100만 달러를 빼내는 등 일련의 해킹 사건의 배후로 거론되고 있다. 이런 가운데 보안 업체 카스퍼스키 랩(Kaspersky Lab)은 이 해커 집단이 최근 심각한 실수를 저질렀다고 3일 밝혔다. 유럽에서 해킹을 시도하면서 서버의 로그를 삭제하는 데 실패한 것이다.
이 로그를 보면 북한 IP 주소를 이용해 서버에 접속했음을 알 수 있다. 북한은 인터넷 접속이 매우 제한돼 있다는 것을 고려하면 매우 이례적인 것이다.
이 IP 주소는 라자러스 그룹이 북한과 밀접하게 관련돼 있음을 보여주는 새로운 증거이다. 카스퍼스키 랩은 지난해에도 비슷한 분석을 내놓은 바 있다. 2014년 소니 해킹에 사용된 코딩 기술과 은행 해킹에 사용된 것 사이에 유사성이 있다는 것이다. 소니 해킹 사건 당시 미국 정부는 북한의 소행이라고 비난한 바 있다.
카스퍼스키 랩은 자사
블로그를 통해, 복구한 서버 로그를 보면 북한과 라자러스 간의 직접적인 연결을 볼 수 있다고 주장했다. 또한 라자러스는 은행 외에도 카지노와 금융 솔루션 업체, 디지털 통화 전문업체 등을 해킹 대상으로 주목해 왔다고 밝혔다.
라자러스가 서버 로그를 삭제하지 못한 것은 암호통화인 '모네로(Monero)'를 생성하는 소프트웨어를 설치했기 때문으로 보인다. 카스퍼스키 랩 측은 "이 소프트웨어는 시스템 자원을 극단적으로 많이 사용해 시스템 전체가 응답하지 못하는 상태가 됐다"라고 설명했다.
그러나 카스퍼스키 랩은 라자러스의 범죄 활동의 배후에 북한 정부가 있다고 단정하지는 않았다. 업체는 "아직은 추론 단계이다. 다른 연구자들처럼 우리도 예상이 아닌 사실을 제시하는 것을 더 선호한다"라고 밝혔다.
카스퍼스키 랩에 따르면, 라자러스는 최소한 2009년 이후 활동을 시작했다. 조직도 상당한 규모로 보이는데, 예를 들어 구형 툴 사용을 피하면서 새로운 악성코드를 양산하려면 대규모 운영이 필요하다.
이 해커 집단의 최신 변종 악성코드는 최소 18개국 시스템에 감염됐다. 사용자가 방문할 것으로 예상되는 특정 웹사이트를 해킹하는 일명 '워터링 홀(watering hole)' 공격을 이용해 악성코드를 퍼뜨렸다. 카스퍼스키 랩은 "이런 수준의 복잡한 공격은 기존 사이버 범죄에서도 찾기 힘들다. 해킹을 위해 상당한 자금을 투입하고 있는 것으로 보인다"라고 밝혔다.
월스트리트 저널에 따르면, 미국 사법당국은 현재 북한을 상대로 소송을 진행중이다. 방글라데시 은행을 해킹해 8100만 달러를 강탈한 혐의이다. ciokr@idg.co.kr