이스트시큐리티 "北 라자루스 소행 악성파일 무차별 유포"

이스트시큐리티는 지난 22일 오전 한국의 특정 인터넷 포럼 자료실을 통해 유용한 프로그램처럼 위장한 악성 파일<사진>이 불특정 다수에게 무차별 유포됐다고 밝혔다.

악성 파일이 포함된 게시물은 이날 약 1600명이 조회한 것으로 확인됐다. 악성 파일은 ‘시력 보호 프로그램’을 사칭하고 있으며 23일 오전 삭제된 상태다.

이스트시큐리티 ESRC(시큐리티대응센터)는 공격자가 기존의 정상 프로그램을 임의로 변조해 파일 내부에 악성코드를 추가로 삽입했고, 설치·삭제 과정에서 악성코드가 은밀히 작동되도록 정교하게 기능을 추가한 것으로 파악했다.

악성 파일을 심층 분석한 결과, 북한의 해킹 조직으로 알려진 ‘라자루스(Lazarus)’ 그룹의 소행으로 조사됐다. 이들은 미국 정부로부터 제재 대상인 해킹 조직으로 미국에선 ‘히든 코브라’라는 이름으로 통용된다.

문종현 이스트시큐리티 ESRC센터장(이사)는 "라자루스 조직원들이 스피어 피싱 기반 APT(지능형지속공격)뿐 아니라 유명 인터넷 커뮤니티 자료실에 악성 파일을 심는 과감한 공격 전술을 구사하고 있어 각별한 주의가 요구된다"면서 "이스트시큐리티에서 올 상반기 공개했던 라자루스 공격 관련 악성 파일과 코드가 거의 일치한다"고 말했다.