카스퍼스키랩이 지난 25일 한국과 미국을 주요 타깃으로 하는 사이버 공격 단체 라자루스(Lazarus) 그룹에 대응하고 있다고 밝힌 가운데 시만텍에서도 ‘블록버스터 작전(Operation Blockbuster)’에 참여해 대응에 나서고 있다고 밝혔다.
블록버스터 작전의 이번 합동 조사를 통해 2014년 미국 소니픽처스 해킹과 일명 ‘다크서울’로 알려진 2013년 3.20 한국 사이버 공격이 동일범이라는 분석이 나왔다.
라자루스는 적어도 2009년부터 활동해온 것으로 파악되는 사이버 공격 조직으로, 스파이 작전은 물론 파괴적인 대형 공격도 펼칠 수 있는 강력한 리소스를 갖추고 있다. 또 여러 공격 조직의 연합으로 구성돼 있음을 시사하는 증거도 확인됐는데, 실제로 그렇다면 이러한 조직들은 하나의 특정 조직의 지시 하에 합동으로 움직이고 있을 가능성이 있다. 라자루스는 특히 미국과 함께 한국을 집중 공격 대상 국가로 삼고 있어 주목할 필요가 있다.
라자루스 공격으로부터 기업과 정부 기관을 보호하기 위한 합동 작전 ‘블록버스터’에는 데이터 분석 기관인 노베타(Novetta)를 필두로, 시만텍을 포함한 글로벌 주요 보안 기업들이 참여한다. 보안 기업들은 보안 위협 인텔리전스와 리소스를 공유하고, 공격자와 관련된 악성코드 시그니처 등 유용한 정보들을 제공할 계획이다.
시만텍은 2009년부터 라자루스 관련 공격을 추적·분석해왔다. 그간의 공격 사례들을 살펴보면 공통적으로 피해를 극대화하기 위한 디스크 와이핑(disk-wiping) 악성코드와 같은 위협적인 공격 기법을 사용해왔다.
2009년 한국과 미국의 수많은 웹사이트들을 오프라인 상태로 만든 디도스(DDoS) 공격: 도저(Dozer)로 알려진 트로이목마(Trojan.Dozer)는 미리 해킹한 컴퓨터들을 사용해 디도스 공격을 감행했다. 도저는 수많은 웜(W32.Dozer, W32.Mydoom.A@mm, W32.Mytob!gen)을 포함한 공격 캠페인에서 이메일을 통해 확산됐다.
2011년 한국의 웹사이트 대상 디도스 공격: 코레도스(Trojan.Koredos)라는 더욱 위협적인 악성코드를 이용. 감염된 컴퓨터를 이용해 디도스 공격을 감행했을 뿐만 아니라, 단시간에 데이터를 모두 삭제했다.
우리나라에서 많이 사용되는 문서파일 확장자인 .hwp, .alz, .gul 등의 파일들이 공격 대상이 됐는데, 첫 감염 후 7~10일 이내에 모든 연결 드라이브의 MBR(master boot record)을 삭제함으로써 윈도우 재부팅조차 불가능하게 만들어 사실상 컴퓨터를 무용지물로 만들어 버렸다.
2013년 한국의 은행, 방송국, 통신사 등 대상 공격: 큰 피해를 입힌 이 공격들은 ‘조크라(Trojan.Jokra)’라는 디스크 삭제 트로이목마로 공격 표적의 서버를 해킹한 것으로 알려졌다. 당시 국내 한 통신사의 홈페이지 메인 화면이 해골 동영상 이미지와 스스로를 ‘후이즈(Whois)’라고 밝힌 해커로 추정되는 집단의 메시지로 변조됐던 사건이었다.
2014년 소니 픽처스엔터테인먼트(Sony Pictures Entertainment) 공격: 소니 픽처스를 해킹한 백도어 데스토버(Backdoor.Destover)는 FBI의 경고 대상이 될 만큼 고도로 파괴적인 트로이목마다. 당시 FBI는 해당 공격의 배후에 북한 정권이 있다고 결론지었다. 데스토버는 한국 내 공격 표적을 대상으로 했던 이전의 공격들과 연관성이 있다.
데스토버의 일부 샘플들이 한국의 표적들을 공격하도록 만들어졌던 트로이목마 볼그머(Trojan.Volgmer)가 이용한 C&C 서버에 보고됐는데, 공유된 C&C 서버를 보면 두 공격의 배후에 같은 조직이 있을 수 있음을 시사했다. 한편 이 악성코드의 업데이트된 버전(Trojan.Volgmer.B)은 최근 국내 대기업들을 표적으로 한 공격들에 사용되기도 했다.
최근 한국의 제조업을 겨냥한 공격: 백도어.듀저(Backdoor.Duuzer)로, 여러 지역에서 탐지되었는데 한국의 제조업도 공격 표적들 중 하나였다. 또한 듀저의 배후 공격자들이 한국의 더 많은 조직들을 겨냥해 브램블(W32.Brambul), 조납(Backdoor.Joanap)과 같은 위협들을 퍼뜨렸음을 시사하는 증거도 발견됐다.
윤광택 시만텍코리아 제품기술본부 상무는 “사이버 보안 위협이 늘고 있는 가운데 라자루스 그룹과 같이 조직적이고 지속적으로 운영되는 사이버 공격 단체가 있다는 것은 중요한 의미를 가진다”며, “특히 한국이 주요 공격 표적이라는 점에서 라자루스 그룹의 행보를 예의주시해야 할 필요가 있다”고 덧붙였다.
