지난해 말 금융보안인증 소프트웨어의 보안 취약점을 악용해 국내외 주요 기관 60여 곳의 PC 210여 대를 해킹한 조직은 북한의 '라자루스'였던 것으로 밝혀졌다.
경찰청 국가수사본부는 지난해 11월부터 금융보안인증 소프트웨어 취약점 악용 공격 사건을 수사한 결과, 이번 사건이 북한 정찰총국이 배후인 것으로 알려진 일명 '라자루스' 해킹 조직의 소행인 것으로 확인했다고 18일 밝혔다.
지난 3월 30일 국가정보원·경찰청·한국인터넷진흥원(KISA) 등은 국민들에게 관련 보안 취약점을 공개하고 신속한 금융보안인증 프로그램 업데이트를 당부하는 한편, 발견된 악성코드를 백신 프로그램에 반영하고 피해업체에 대한 보안조치를 완료하는 등 추가적인 피해를 방지한 바 있다. (☞관련기사)
라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 북한 해킹조직이다. 정부는 지난 2월 10일 사이버 분야 대북 독자제재 대상으로 라자루스 해킹조직을 지정했다.
수사 결과, 북한은 지난 2021년 4월 KT그룹의 금융·보안 전문기업인 이니텍을 해킹하여 소프트웨어 취약점을 찾아내고, 공격에 활용할 웹 서버와 명령·제어 경유지 등 공격 인프라를 장기간 치밀하게 준비한 것으로 확인됐다.
경찰청은 취약 버전의 금융보안인증 소프트웨어가 설치된 컴퓨터(PC)가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드가 설치되는 '워터링홀' 수법을 통해 국내 61개 기관이 해킹된 것으로 확인했다. 워터링홀은 방문 가능성이 높거나 많이 사용하는 사이트를 감염시킨 후 피해자가 해당 사이트에 접속 시 컴퓨터에 악성코드를 추가로 설치하는 공격 방식이다.
경찰청은 국정원·KISA 등 관계기관 합동분석 결과, ▲공격 인프라 구축 방법 ▲‘워터링홀’ 및 소프트웨어 취약점을 악용한 공격 방식 ▲악성코드 유사성 등을 토대로 이번 사건을 북한 해킹조직 일명 ‘라자루스’의 소행으로 판단했다고 밝혔다.
경찰청은 "이번 사건은 북한이 인터넷뱅킹 등 전자금융서비스 이용에 필수적으로 설치되는 소프트웨어의 취약점을 악용하고, 국민 대다수가 접속하는 언론사 사이트를 악성코드 유포 매개체로 활용해 피해가 대규모로 확산될 위험성이 있었던 해킹사건"이라며 "국내 1천만 대 이상의 컴퓨터(PC)에 설치된 금융보안인증 프로그램의 취약점을 활용해 대규모 사이버 공격을 준비했을 가능성도 배제할 수 없지만, 관계기관 합동대응을 통해 이를 사전에 확인·차단한 사례"라고 밝혔다.
경찰청은 북한의 해킹 수법이 날로 고도화되고 있는 만큼, 추가적인 피해 예방을 위해 보안인증 프로그램을 최신 버전으로 업데이트해 줄 것을 강조했다. 경찰청에 따르면 14일 현재 취약점이 악용된 금융보안인증 프로그램 업데이트는 약 80% 수준이다.
해킹에 악용된 제품은 INISAFE CrossWeb EX V3 3.3.2.40 이하 버전이다. 서비스 운영자는 이니텍을 통해 최신 버전인 INISAFE CrossWeb EX V3 3.3.2.41으로 교체할 수 있다.
관련기사
- "이니텍 INISAFE 보안 업데이트하세요"…국정원, 북한발 PC 해킹 발견2023.03.30
- "北 사이버 공격은 최상위권"…'사이버안보'로 민관 뭉친다2023.02.12
- 국정원-독일 정보기관 "'킴수키', 악성 이메일 보내 정보 탈취"2023.03.20
- 국정원, '암호모듈 시험체계' 민간중심으로 전환 추진2023.03.09
서비스 이용자는 취약한 버전의 INISAFE CrossWeb EX V3가 설치되어 있는 경우 제거 후 최신 버전으로 업데이트할 수 있다. 서비스 이용자는 [제어판]-[프로그램]-[프로그램 및 기능]에서 INISAFE CrossWeb EX V3 버전 확인 후 제거를 클릭하면 된다. 이후 이용 중인 금융사이트 등에 접속하거나 개발사 홈페이지에 직접 접속해 취약점이 해결된 버전으로 재설치하면 된다.
경찰청은 "이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하고, 추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어 나갈 계획"이라고 밝혔다.
