北 해커, 스페인 우주 기업 공격...핵미사일 연구 우려
북한의 해킹조직이 국내를 넘어 전 세계 주요 항공우주 기업을 타깃으로 사이버 공격을 감행하고 있다. 관련 업계에서는 최근 북한에서 가속화하고 있는 대륙간탄도미사일 개발 등 미사일 연구에 박차를 가하기 위한 것으로 분석하고 있다. 슬로바키아의 IT보안서비스 기업 ESET는 북한 정찰총국 산하 라자루스 그룹이 스페인의 한 항공우주 기업을 공격한 정황을 포착했다고 밝혔다. 최근 북한이 한국을 비롯해 전 세계적으로 사이버공격을 감행하고 있으며, 이들의 공격 목표에는 중국과 러시아 등 우방국까지 포함하고 있다. 특히 공격 주요 목표는 자금 확보를 위한 가상화폐거래소와 더불어 항공우주연구 기업과 주요 국방 시설인 것으로 나타났다. 지난 8월에는 러시아의 미사일제조사 NPO 마쉬노스트로예니아를 해킹해 로켓설계 관련 자료를 탈취한 것으로 알려졌다. 보안 전문가들은 지난 8월 발생한 북한의 미사일 발사 등을 고려했을 때 대륙간탄도미사일(ICBM) 연구와 무관하지 않을 것으로 예상했다. 또한 9월 공개한 전술핵공격잠수함 '김군옥 영웅함'에 적용하기 위한 것이란 분석도 나오고 있다. 북한 측은 김군옥 영웅함이 기존 중형잠수함을 개조한 전술핵잠수함의 표준형이라며 전술핵 잠수함 개발에 주력할 것임을 밝힌 바 있다. 한편 ESET 보안 연구원 피터 클나이는 라자러스 그룹의 해킹 경로를 공개했다. 항공우주 기업과 협력해 침투과정을 분석한 결과 라자루스 그룹은 메타의 채용담당자로 위장해 목표 기업의 직원에 접근했다. 이후 원격 채용 과정을 진행하는 척 악성코드를 숨긴 코딩 문제나 퀴즈를 실행시키도록 유도했다. 일부 직원이 사내 시스템에서 해당 악성코드를 실행시킴으로 인해 취약점이 생성됐으며, 라자루스 그룹은 이를 통해 침투에 성공했다. ESET는 라자루스 그룹가 침투에 사용한 해킹툴이 상당히 위협적으로 주의가 필요하다고 강조했다. 특히, 라이트니스캔(LightlessCan)이라는 트로이 목마는 이전에 공개되지 않은 원격 접근도구로 기본 윈도 명령 기능을 모방해 탐지가 어려운 것이 특징이다. 더불어 보안 시스템에 노출되는 것을 최소화하기 위한 가드레일 시스템이 추가됐다. 가드레일은 특정 사용자의 PC에서만 데이터를 확인할 수 있는 시스템으로 사내 보안직원 등이 악성코드를 발견하고 해당 내용을 분석할 수 없도록 악성코드를 보호한다. 피터 클나이 연구원은 “라이트니스캔은 구성과 디자인 등 여러 측면에서 기존 해킹도구에 비해 높은 수준의 정교함과 발전된 기능을 갖추고 있다”며 “공격 위협에 놓인 기업 등의 조직은 관련 내용을 빠르게 확인하고 대응책을 마련해야 할 것”이라고 강조했다.