美 요주의 경계 대상 지목한 北 ‘라자루스’…대체 어떻길래

미국 정부가 6억 달러(약 7400억원) 상당의 가상화폐 해킹의 배후로 북한을 지목한 가운데 이를 주도한 해커그룹 라자루스(Lazarus)가 주목받고 있다. 라자루스가 탈취한 자금은 북한의 탄도미사일 등 무기 개발에 조달되고 있다는 게 미국 보안당국의 설명이다. 라자루스는 2007년 초 조직돼 지금까지 활발하게 활동하고 있는 북한의 대표적인 해커그룹으로 추정된다.

◆라자루스 어떤 조직

라자루스는 북한 정찰총국과 연계된 것으로 추정되며 소니픽처스 해킹, 방글라데시 현금 탈취 사건, 워너크라이 랜섬웨어 사건 등의 주요 배후로 거론돼왔다.

라자루스는 지난 2014년 소니픽쳐스를 해킹해 기밀 자료를 공개 유출했다는 의혹을 받으면서 이름을 알렸다. 소니픽쳐스가 김정은 북한 국무위원장의 암살을 다룬 영화 ‘인터뷰’ 제작을 중단하라는 요구를 들어주지 않자 보복 해킹을 단행한 것이다.

라자루스는 소니픽처스 직원들에게 악성코드를 보낸 뒤 네트워크에 침투했다. 당시 해킹으로 메일, 개인 정보, 미개봉 영화 등 다양한 자료가 유출됐고, 수 천대의 컴퓨터가 훼손됐다. 이후 미국 연방 수사당국(FBI)은 소니픽처스에 대한 해킹의 배후에 북한이 있다고 지목했다.

이번 해킹사고로 회사 매각설까지 제기되는 등 소니픽처스는 막대한 타격을 입었다. 해킹이 발생하고 9개월 뒤 마이클 린턴 전 소니픽처스 회장은 하버드비즈니스리뷰(HBR)와의 인터뷰에서 “물건을 훔쳐간 것이 아니라 집을 완전히 태워버렸다”고 토로했다.

또 2016년 방글라데시 중앙은행에서 발생한 8100만 달러(약 1005억원) 탈취사건도 라자루스의 소행으로 알려졌다.

FBI 수사 결과로 북한은 1년 전부터 범행을 계획한 것으로 드러났다. 북한 해커들은 2015년 1월 라셀 아흘람이란 이름으로 이력서를 첨부한 구직 이메일을 방글라데시 국립은행 직원들에게 보냈다. 그러나 라셀 아흘람은 북한 해커가 만들어낸 가상의 인물이었고, 이 메일에는 해킹 코드가 숨겨있었다.

라자루스는 이 해킹 코드를 통해 1년간 방글라데시 중앙은행의 모든 샅샅이 살폈고, 거래 경로를 파악했다. 또 탈취한 돈을 제3국의 북한 계좌로 빼돌릴 시간도 마련했다.

사건이 발생한 2016년 3월 5일 방글라데시 중앙은행이 뉴욕 연방준비제도(Fed·연준)에 맡겨둔 1억 100만 달러(약 1359억원)가 해킹으로 빠져나갔다. 8100만 달러는 필리핀은행을 통해 사라졌다. 나머지 2000만 달러(약 247억원)는 스리랑카은행으로 보내져 현금화하기 직전 스리랑카 금융당국의 저지로 인출되지 않았다.

FBI가 사건을 추적한 결과 배후에 라자루스가 있는 것으로 파악됐다. 이 사건은 미국이 라자루스에 소속된 북한 해커 박진혁이라는 인물을 기소하면서 알려졌다.

아울러 라자루스는 2017년 전세계 150여개국 30여만대 컴퓨터를 공격한 워너크라이 랜섬웨어(컴퓨터를 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어)도 주도했다.

워너크라이는 2017년 5월 마이크로소프트(MS) 프로그램의 약점을 이용해 전 세계의 컴퓨터를 감염시켰다. 랜섬웨어에 감염되면 컴퓨터에 저장된 파일과 데이터에 접근하려면 300달러를 송금하라는 메시지가 떴다. 하지만 돈을 송금해도 감염된 컴퓨터는 풀리지 않았다.

사건 발생 7개월 뒤 서방 세계는 워너크라이 랜섬웨어 공격의 배후에 북한이 있다고 지목했다.

2017년 12월 19일 톰 보서트 백악관 국토안보 보좌관은 브리핑에서 워너크라이 공격은 북한 소행이라고 공식 발표했다. 그는 “우리는 이러한 주장을 뒷받침할 만한 증거를 지니고 있다”고 설명했다.

같은 날 나지르 아흐메드 영국 외무부 차관도 기자회견에서 “(워너크라이의) 배후를 공개 지목하기로 한 결정은 영국과 동맹국들이 악의적 사이버 활동을 인내하지 않을 것이라는 분명한 메시지를 보내는 것”이라며 북한을 비난했다.

◆블록체인 게임 ‘엑시 인피니티’ 해킹 배후로 지목

최근 발생한 가상화폐 탈취 사건인 ‘엑시 인피니티’ 해킹 역시 배후로도 라자루스가 지목됐다. ‘엑시 인피니티’는 2018년 베트남 게임업체 ‘스카이마비스’가 출시한 블록체인 게임으로, 요즘 핫한 ‘돈버는 게임(플레이투언·P2E)의 선두주자’로 꼽힌다.

사건의 전모는 다음과 같다. 엑시 인피니티는 사용자가 게임 안팎에서 가상화폐를 전송하고 사용할 수 있는 네트워크로 자체 구축한 블록체인을 사용했다. 이 블록체인이 로닌이다. 스카이 메이비스는 거래 속도를 높이고 수수료를 낮추기 위해 하위 블록체인인 로닌을 운영해 왔다. 해커들은 이 로닌을 파고들었다.

지난달 23일 로닌 서비스 부문에서 해킹이 발생해 시가 6억2500만 달러(약 7700억원) 상당의 가상화폐가 사라진 것이다. 이는 디파이(DeFi·탈중앙화금융) 네트워크 해킹 중 역대 최대 규모다.

미국 정부는 라자루스가 ‘엑시인피니티’의 이더리움(ETH)과 USD코인(USDC)을 탈취한 것으로 보고 수사에 착수했다. 사건 발생 23일 만인 지난 15일 미국 정부는 엑시 인피니티 해킹 사건이 라자루스의 소행이라고 판단했다.

미 재무부는 그러면서 라자루스와 연결된 암호화폐 이더리움의 지갑 주소를 제재 리스트에 추가했다. 엑시 인피니티 해킹이 라자루스 소행이라는 판단에 따라 가상화폐가 오간 계좌를 차단한 것이다.

이어 18일에는 미국 국토안보부 산하 사이버안보·기간시설안보국(CISA)이 FBI, 재무부와 함께 북한 해킹 조직 ‘라자루스’의 블록체인 기업 해킹 공격 위험을 경고하는 사이버주의보를 발표했다.

전문가들은 전 세계를 겨냥한 북한의 해킹 공격이 계속될 것으로 내다봤다.

문종현 이스트시큐리티 이사는 “정부 차원에서 해킹을 하는 국가 가운데 돈벌이 목적은 북한이 유일하다”라며 “미사일 개발 등 정권 유지에 이같은 사이버 자금이 활용되는 것으로 추정된다”고 말했다.

【서울=뉴시스】