경찰청 안보수사국 관계자가 18일 ‘보안인증 취약점 공격사건’ 수사 결과를 발표하고 있다. 연합뉴스
경찰청 안보수사국 관계자가 18일 ‘보안인증 취약점 공격사건’ 수사 결과를 발표하고 있다. 연합뉴스
북한과 연계된 해커그룹 라자루스가 지난해 발생한 보안인증 프로그램 해킹 사건을 벌인 배후로 확인됐다. 이들은 인터넷뱅킹에 쓰이는 금융보안인증 소프트웨어의 취약점을 노리고 컴퓨터 207대를 해킹한 뒤 악성코드를 퍼뜨린 것으로 알려졌다. 은행과 공공기관에 접속할 때 필수 설치해야 하는 ‘이니세이프’ ‘베스트서트’ 등의 보안프로그램을 해킹 통로로 이용한 것이다.

▶본지 4월 6일자 A1, 4면 참조

경찰청 국가수사본부는 라자루스가 2021년 4월부터 1년여 동안 국내 유명 보안인증업체를 해킹해 보안인증 프로그램을 이용한 사이버 공격을 준비했다고 18일 밝혔다. 라자루스는 2014년 미국 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등에 연루된 것으로 알려진 북한 해킹조직이다. 정부는 지난 2월 라자루스 해킹조직을 사이버 분야 대북 독자 제재 대상으로 지정했다.

경찰은 이들이 지난해 6월부터 악성 프로그램이 설치된 PC가 특정 언론사 사이트에 접속할 경우 자동으로 악성코드가 설치되는 워터링홀 수법으로 국내 언론사 8곳 등 61개 기관의 PC 207대를 해킹한 것으로 보고 있다.

1000만 대가 넘는 국내 기관·업체·개인 PC에 설치된 보안인증 프로그램을 이용해 이른바 ‘좀비 PC’를 만들어 이를 통해 대규모 대남 사이버 공격을 준비한 정황도 포착됐다. 경찰청 관계자는 “100분의 1초 만에 악성코드가 심어지는 방식을 확인했다”고 설명했다.

국가정보원은 지난달 북한의 해킹 공격과 관련해 대국민 보안 권고를 공지했다. 또 이달 초에는 경기 성남시 사이버안보협력센터에서 과학기술정보통신부, 한국인터넷진흥원(KISA) 등과 긴급회의를 열기도 했다. 국정원은 이니세이프 보안 문제를 확인하는 과정에서 인증서 관리 프로그램 베스트서트의 보안 취약점을 발견했다. KISA 등은 △터치엔키(키보드 보안) △케이에스서트(인증서 복사) △아이피인사이드(IP 추적) △베라포트(패키지 관리) 등에 대한 긴급 패치 작업도 했다.

국정원 관계자는 “올해 1월 긴급 대응에 들어갔고 해당 악성코드의 작동 원리 등에 대한 상세 분석을 완료했다”며 “이 분석 자료를 근거로 보안 패치 개발을 완료했다”고 설명했다.

북한은 해킹을 통해 외화벌이에 나서는 것으로 알려져 있다. 외교안보연구소 자료에 따르면 북한은 2004년부터 사이버 공격을 시작해 2021년까지 그 횟수가 300배 이상 늘어났다. 외교안보연구소는 “북한은 사실상 미사일이나 핵실험보다 사이버 공간에서 훨씬 많은 공격을 하고 있다”고 했다.

지난 1월에는 국정원과 미국 사설 조사관들이 경기 성남시 판교의 북한 암호화폐 세탁 현장을 급습하기도 했다. 한·미 공동 조사단은 북한 해커들이 미 암호화폐업체 하모니에서 훔친 1억달러(약 1300억원)어치를 추적해 왔는데, 당시 이 중 일부인 100만달러(약 13억원)어치를 찾은 것으로 전해졌다.

미국 정부는 북한 해커들이 10억달러어치 이상의 암호화폐를 탈취했고 북한은 이 돈을 미사일 개발에 쓴다고 보고 있다. 올해 초 미국 백악관이 낸 성명에는 “암호화폐업계 전반의 허술한 사이버 보안을 틈타 북한이 10억달러어치 이상을 탈취해 공격적인 미사일 프로그램에 자금을 조달하는 게 가능해졌다”고 언급했다.

조철오 기자 cheol@hankyung.com