글로벌 사이버 보안 위협 심화…“위협 인텔리전스와 협력 강화해야”
북한 배후 해킹조직 라자루스가 브라질 핵 관련 기관을 포함한 글로벌 주요 산업을 겨냥한 공격을 감행한 정황이 포착됐다. 카스퍼스키가 공개한 ‘드림잡 작전(Operation DreamJob)’ 보고서에 따르면, 이들은 브라질의 핵 관련 기관 직원과 베트남의 특정 부문 직원을 대상으로 신원 도용 및 시스템 정보 수집을 위한 정교한 공격을 시도했다.
라자루스는 유명 항공우주 및 방위 회사를 사칭해 IT 전문가 대상 기술 평가 시험으로 위장한 손상된 파일을 전달했다. 공격 경로는 명확하지 않으나, 링크드인과 같은 구직 플랫폼을 활용해 피해자를 속였을 가능성이 높다. 이들은 이직이나 프로젝트를 제안하며 사용자를 유인해 악성 파일 다운로드를 유도하는 데 능숙하다.
쿠키플러스: 복잡한 감염 체인으로 탐지 회피
이번 공격에 사용된 멀웨어는 오픈소스 메모장++ 플러그인으로 위장한 모듈형 백도어 ‘쿠키플러스(CookiePlus)’다. 설치 후 시스템 정보를 수집하고 동작을 지연시키는 기능으로 탐지를 어렵게 만들었다. 컴퓨터 이름, 프로세스 ID, 파일 경로 등 민감한 데이터를 수집하며, 구성 파일을 수정해 실행 일정을 조정하는 등 지속성을 높였다.
류소준 카스퍼스키랩 보안 전문가는 “드림잡 작전은 신원 도용 및 데이터 도난과 같은 심각한 위험을 동반하며, 동작 지연 기능으로 시스템에서 오랜 기간 탐지되지 않고 활동할 수 있다”며 “이들의 멀웨어는 추가 피해를 초래할 가능성이 크다”고 경고했다.
글로벌 산업을 위협하는 라자루스의 진화
드림잡 작전은 5년 이상 지속된 라자루스의 핵심 작전명으로, ‘데스노트(DeathNote)’로도 불린다. 이들은 2019년 암호화폐 기업을 첫 타깃으로 삼은 이후 한국, 유럽, 라틴 아메리카, 아프리카 등 전 세계 IT 및 방위 기업을 대상으로 공격 범위를 확장했다.
라자루스는 다운로더, 로더, 백도어 등 다양한 유형의 멀웨어를 활용해 감염 체인을 복잡하게 구성하며, VNC 소프트웨어 등 합법적인 도구를 이용해 트로이 목마를 전달하는 다단계 공격 전략을 구사한다.
협력과 위협 인텔리전스의 중요성 강조
이효은 카스퍼스키 한국 총괄 매니저는 “라자루스는 글로벌 사이버 보안에 지속적이고 심각한 위협을 제기하고 있다”며 “핵, 방위, IT 등 중요 산업에 대한 공격에 대응하기 위해 고급 사이버 보안 솔루션과 위협 인텔리전스를 강화해야 한다”고 밝혔다.
그는 또한, “글로벌 협력의 중요성을 재확인하며, 정교한 공격자에 대응하기 위한 국제적 노력이 절실하다”고 덧붙였다.
이번 보고서는 사이버 보안 위협에 대한 경각심을 일깨우며, 글로벌 보안 환경에서 협력과 대비의 중요성을 강조하고 있다.
댓글 남기기