악성코드로 ‘협박’…라자루스, 안다리엘, 블루노로프 그룹 등
금융보안원·금융보안연구소 경고...
“특히 보안역량 취약한 中企 주의해야”

사진은 램섬웨어에 감염된 사이트 화면으로 본문과 직접 관련은 없음.(사진=안랩)
램섬웨어에 감염된 사이트 화면. 본문과 직접 관련은 없음. [사진=안랩]

[중소기업투데이 조민혁 기자] 2022년에도 사이버공격이 극성을 부릴 것으로 보인다. 국내외 여러 보안 관련 기관들도 이에 관한 주의보를 연초부터 지속적으로 내보내고 있다. 특히 보안 역량이나 정보가 취약한 중소기업의 경우는 더욱 치명적일 수 밖에 없다. 그 중에서도 대금 결제나 금융거래 등에서 중소기업은 많은 허점을 안고 있다. 금융보안연구소는 최근 이 점을 지적하며, “특히 국내 중소기업이나 기관 등을 대상으로 사이버 공격을 집중적으로 퍼붓는 해킹 조직들이 있다”고 경고해 관심을 끌고 있다.

이들 해킹 조직들 간에는 사이버 공격을 두고 이른바 ‘캠페인’이라는 은어를 쓰고 있다. 금융보안연구소는 그 중에서도 특히 우리나라 기업들을 대상으로 공격을 일삼아온 대표적인‘그룹’들을 적시하며 주의할 것을 당부하고 있다. 이에 따르면 안다리엘 그룹이나 라자루스 그룹, 블루노로프 그룹 등이 그 대표적인 악성 캠페인의 당사자들이다. 이들은 약 4~5년 전부터 부쩍 국내 기업들을 타깃으로 삼아온 것으로 전해지고 있다.

이들은 공격을 감행할 때 일종의 사이버 공격 문자열인 ‘라이플(rifle)’을 남긴다. 특히 악성 프로그램의 샘플인 PDB, 즉 비주얼 스튜디오 프로그램을 디버깅할 때 사용되는 프로그램 데이터베이스에서 반복적으로 식별되고 있다. 이를 두고 역시 보안 전문기관인 금융보안원은 “공격 유형을 프로파일링하면서, 위협을 가하는 신호”라고 했다.

금융보안연구소와 금융보안원이 추적한 바에 의하면 특히 우리 기업들에겐 ‘라자루스 그룹’에 의한 피해가 컸다. 이는 글로벌 보안업계가 모두 예의 주시하는 악명높은 그룹이다. 이에 대해 분명 (러시아 등) 특정 국가가 배후에 있고, (암암리에 공적 지원에 의한) 고급 기술 능력과 잘 조직된 그룹을 보유하고 있는 것으로 짐작되는 조직이다. 특히 걸핏하면 반복되는 국내 디도스 공격과 같은 대형 사이버 공격의 배후에 그들이 있다는 것이 확인되기도 했다.

이들은 지난 10여 년 전부터 DDoS 공격, 사이버 테러 공격, 블록버스터 작전 등을 펼치며, 기업들의 네트워크망을 혼란케 하거나 마비시키곤 했다. 한켠에선 북한도 그 배후에 있을 것으로 의심하기도 한다.

이들의 수법은 날로 발전, 진화하고 있다. 이들에 대한 수사가 강화되고, 사용자들의 방어태세로 한층 심화되면서 특히 라자루스의 경우는 새로운 공격 패턴을 구사하기도 한다. 프로파일링을 활용하면서, 사용자들이 공격 당하고 있음을 신속히 발견하기 어렵게 하는 수법이다. 또 다른 전문가들은 글로벌 금융회사를 공격하는 블루노로프 그룹도 조심해야 한다는 조언이다. 블루노로프는 한때 국제 금융기관들이나 각국 중앙은행을 포함한 글로벌 금융회사를 무차별 공격한 적이 있다.

블루노로프는 그 동안 주로 외국계 금융회사를 공격했지만 최근에는 국내 은행에 대한 공격도 이어지고 있다. 은행의 내부 서버나 네트워크 분리 솔루션의 취약점을 노리는게 이들의 수법이다. 특히 금융보안원은 “블루노로프가 한국에 대한 맞춤형 공격을 감행한 것으로 추정된다.”면서 “날이 갈수록 일련의 상황과 사건의 프로파일링을 통한 위협도 가중되고 있다”고 했다. 이에 금융보안연구소는 그룹에 대한 프로파일링과 모니터링을 강화하고 있는 것으로 전해지고 있다.

신종 악성코드인 ‘안다리엘 그룹’도 금년에 기승을 떨 것으로 보인다. 이는 블루노로프가 취약점을 이용하기 위해 사용하는 악성코드와는 패턴이 다르다. 다만 글로벌 금융회사와 국내 금융회사의 네트워크 분리 솔루션의 취약점을 노린 점에선 같다. 안다리엘과 블루노로프는 각자 목적하는 바나 목표는 조금 다르다. 블루노로프는 주로 한국을 비롯한 글로벌 금융회사를 타깃으로 하고 있다. 이에 비해 안다리엘은 중소기업을 포함한 기업들과 정부 기관을 겨냥한다.

저작권자 © 중소기업투데이 무단전재 및 재배포 금지