방글라데시 은행 인출 용의자 ‘라자루스’ 활동 조사 결과 발표
| ▲ 라자루스 범죄 조사과정 | ||
[아이티데일리] 카스퍼스키랩은 2016년 방글라데시 중앙은행의 8천1백만 달러 도난 사건의 강력한 용의자로 지목 받고 있는 악질 해킹 조직 라자루스(Lazarus)의 활동을 1년 이상 조사한 결과를 4일 발표했다.
지난해 2월, 당시에는 신원 불명이던 한 해커 조직이 방글라데시 중앙은행으로부터 미화 8억 5천1백만 달러를 훔치려는 시도를 했고 이 가운데 미화 8천1백만 달러를 불법 인출했다. 이는 역대 최대 규모의 사이버 강도로 손꼽히고 있다.
카스퍼스키랩은 이 공격이 라자루스의 소행일 가능성이 매우 높다고 밝혔다. 라자루스는 악명 높은 사이버 스파이 및 사보타주 조직으로 파괴적인 공격을 꾸준히 자행해 왔으며 2009년 이래로 전 세계 18개국 이상의 다양한 제조 기업, 미디어 및 금융 기관을 해킹한 것으로 유명하다.
카스퍼스키랩은 동남아 및 유럽 은행에 라자루스가 남긴 정보에 대한 포렌식 분석을 수행하면서 이 해킹 조직이 사용하는 악성 도구와 이들이 금융 기관, 카지노, 전 세계 투자 기업의 소프트웨어 개발자를 공격하면서 어떤 식으로 활동하는지를 심도 있게 파악할 수 있었다고 밝혔다. 덕분에 금융 기관으로부터 거액의 자금을 빼돌리기 위해 진행 중이던 다른 활동을 2건 이상 저지하는 성과를 거뒀다.
방글라데시 공격 이후로 몇 개월 동안 잠잠하긴 했으나 라자루스는 활동을 지속하고 있었다. 다른 은행의 자금을 훔치기 위한 새로운 계획을 준비해오고 있었으며, 준비 태세가 되는 즉시 동남아 금융 기관에 발을 담갔다.
카스퍼스키랩 제품과 후속 조사에 의해 이러한 계획이 저지된 이후 이 해킹 조직은 몇 개월간 다시 잠잠해졌으며, 이후 활동 무대를 유럽으로 옮겼다. 그러나 카스퍼스키랩의 보안 소프트웨어에 탐지되었을 뿐만 아니라 기업 연구원들의 적극적인 협조와 리버스엔지니어링, 포렌식 분석, 신속한 사건 대응으로 인해 유럽에서도 제대로 활동하지 못한 것으로 드러났다.
라자루스의 범죄 패턴은 초기침투-발판 마련-내부 정찰-전달 및 절도 순으로 이뤄진다. 먼저 웹 서버에 존재하는 취약 코드나 익스플로잇을 통한 공격으로 은행 내부 시스템에 침투한다. 그런 다음 다른 은행 컴퓨터로 이동해 영구적인 백도어를 구축한다. 이후 상당 기간 해당 네트워크를 분석하고 중요한 리소스를 파악한 후 금융 소프트웨어의 내부 보안 기능을 우회하고 악의적인 거래를 생성하는 악성 코드를 구축한다..
카스퍼스키랩 연구원들이 조사한 공격은 수 주간 계속되었지만, 수 개월에 걸쳐 은밀하게 진행된 작전도 있었던 것으로 보인다. 한 예로, 동남아에서 발생한 사건을 분석하는 과정에서 전문가들은 라자루스 해커들이 은행의 보안 팀이 사건 대응을 요청한 하루 전날까지 7개월 미만의 기간으로 은행 네트워크에 침투할 수 있었다는 점을 발견했다. 실제로 라자루스는 방글라데시 사고 하루 전날에도 은행의 네트워크에 액세스할 수 있었다.
카스퍼스키랩의 기록에 따르면, 2015년 12월부터 대한민국, 방글라데시, 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 폴란드, 이라크, 에티오피아, 케냐, 나이지리아, 우루과이, 가봉, 태국 및 기타 여러 국가에 소재한 투자 기업의 카지노 소프트웨어 개발자, 암호화 화폐 업체, 금융 기관에서 라자루스 조직 활동과 연관성이 있는 악성 코드 샘플이 발견되었다. 2017년 3월에도 카스퍼스키랩은 이러한 샘플을 탐지했으며, 이로 미루어볼 때 이 조직은 앞으로도 계속해서 활동을 이어나갈 것으로 보인다.
라자루스 해커들은 자신의 흔적을 모두 지우는 등의 방식으로 완전 범죄를 꿈꾸고 있기는 하나, 또 다른 작전에서 침투했던 한 서버에서 중요한 정보를 남기는 치명적인 실수를 범했다. 활동 준비가 이루어지는 동안 이 서버는 악성 코드의 C&C 센터로 구성됐다. 이날 아주 짧은 연결이 하나 이루어졌는데, 이 연결은 북한의 극히 드문 IP 주소 범위를 통한 것이었다. 연구원들은 다음과 같이 여러 가지로 추측할 수 있다고 밝혔다.
카스퍼스키랩은 라자루스가 ▲북한의 해당 IP 주소와 연관이 있거나 ▲다른 누군가의 정교한 가짜 작전일 가능성 ▲북한에서 실수로 C&C URL에 방문했을 가능성 등이 있다고 밝혔다.
현재 라자루스 해커들의 활동은 비교적 잠잠한 편이며, 해킹 전략을 재정비하고 있는 것으로 추측된다.
이창훈 카스퍼스키랩코리아 지사장은 “해커들의 공격이 재개되는 것은 시간문제 ”라며, “전 세계 은행, 카지노, 투자 기업의 임원들이 라자루스라는 해킹 조직을 예의주시하는 것이 필요하다”고 말했다.