10일 카스퍼스키랩은 2016년 국방부를 대상으로 발생한 사이버 스파이 공격과 ATM 60대가 악성 코드에 감염돼 2,000개가 넘는 신용카드 정보가 도난 당한 사건에 대한 연구 결과를 발표했다.

연구진은 이 두 사건이 서로 연관되어 있으며, 이 두 공격에 사용된 악성 코드와 기술은 라자루스(Lazarus)의 소행으로 널리 알려진 초기 공격과 유사하다는 결론을 내렸다. 라자루스는 전 세계 기업 및 정부 기관에 치명적 공격을 여러 차례 가한 것으로 악명 높은 해킹 조직이다.

카스퍼스키랩은 ATM 해킹에 사용된 악성 코드를 조사한 결과, 2016년 8월 한국 국방부 공격 코드와 동일하다는 사실을 알아냈다. 카스퍼스키랩은 이들 공격과 이전 해킹 공격의 연관성을 검토하면서 라자루스의 소행으로 알려진 다크서울 악성 코드 공격 등과 유사하다는 점을 발견했다. 파악된 공통점으로는 무엇보다도 동일한 암호 해독 루틴과 난독화 기술 사용, C&C 인프라 중복, 그리고 코드 유사성이 있다.

라자루스는 현재 활동 중인 사이버 범죄 조직으로, 2014년 소니픽쳐스 해킹과 2016년 방글라데시 중앙은행의 8,100만 달러 도난 사건 등, 치명적이고도 큰 규모를 자랑하는 전 세계적 사이버 공격의 배후로 지목 받고 있다.

박성수 카스퍼스키랩 글로벌 위협 정보 분석팀(GReAT) 수석 보안 연구원은 “한국은 2013년부터 사이버 스파이 공격의 표적이 되었는데, 순전히 금전적 목적으로 ATM을 노린 것은 이번이 처음”이라며, “파악한 연관성이 정확하다면, 이번 사건은 라자루스 그룹이 불법적 이득을 취하는 쪽으로 화살을 돌렸다는 걸 보여주는 또 하나의 사례가 될 것이다. 은행을 비롯한 기타 금융 기관은 너무 늦기 전에 안전망을 강화해야 한다”고 말했다.