"방글라데시 중앙은행 해킹조직 활동서 북한IP 발견"

[아이뉴스24 김국배기자] 지난해 방글라데시 중앙은행 해킹 사건의 강력한 용의자로 지목받고 있는 조직이 북한 IP를 이용해 활동한 흔적이 발견됐다.

4일 러시아 보안업체 카스퍼스키랩코리아는 2016년 방글라데시 중앙은행에서 8천100만 달러를 부정 인출한 해킹 조직 '나자로(Lazarus)'에 조사 결과를 발표했다.

나자로는 악명 높은 사이버 스파이·사보타주 조직으로 파괴적인 공격을 꾸준히 자행해왔다. 2009년부터 세계 18개국 이상에서 제조 기업, 미디어, 금융기관 등을 해킹한 것으로 유명하다.

카스퍼스키랩에 따르면 2015년 12월부터 올해 3월까지 우리나라를 비롯해 방글라데시, 인도, 베트남, 인도네시아, 코스타리카, 말레이시아, 폴란드, 이라크, 에티오피아, 케냐, 나이지리아, 우루과이, 가봉, 태국 등에 위치한 투자 기업의 카지노 소프트웨어 개발자, 암호화 화폐업체, 금융기관에서 나자로 조직 활동과 연관성이 있는 악성코드 샘플이 발견됐다.

나자로 해커들은 자신의 흔적을 모두 지우는 방식으로 완전 범위를 시도하나 다른 작전에서 한 서버에 중요한 정보를 남기는 치명적인 실수를 범했다.

활동 준비기간 동안 이 서버는 악성코드의 명령제어(C&C) 센터로 구성됐고 구성 당일 최초 연결은 여러 개의 가상사설망(VPN)·프록시 서버를 통해 이뤄졌는데 이날 아주 짧은 연결이 북한의 IP주소를 통해서 일어났다는 게 회사 측 설명이다.

이를 두고 카스퍼스키랩은 세 가지를 추측했다. 공격자가 북한의 해당 IP와 연관이 있다는 점, 다른 누군가의 정교한 가짜 작전일 가능성, 북한에서 실수로 C&C 인터넷주소(URL)에 방문 등이다.

카스퍼스키랩 측은 "나자로 조직은 새로운 변종 개발에 대대적인 투자를 단행하고 있다"며 "이들은 수개월 동안 보안 솔루션을 피해 갈 악성 툴을 제작하는 데 심혈을 기울였다"고 분석했다.