국가 배후 해킹 조직으로 알려진 라자루스(Lazarus) 조직은 금전적인 이득, 자료 탈취 등의 목적으로 전 세계에 걸쳐 다양한 산업군을 지속적으로 공격해오고 있다. 최근에는 라자루스가 보안 인증 소프트웨어 매직라인(MagicLine)의 취약점을 악용해 국내 IT 기업과 방산 업체, 언론사 등을 대상으로 워터링 홀(Watering Hole) 공격을 수행한 정황이 확인됐다. 이와 관련해 안랩은 라자루스의 악성 행위를 추적, 분석한 보고서를 발행했다. 보고서의 개요를 간단히 살펴보자.

 ​

매직라인은 국가 및 공공기관, 금융기관 등의 홈페이지에서 공동인증서로 로그인할 경우 본인 인증을 목적으로 PC에 설치되는 소프트웨어이다. 최초로 설치된 이후 사용자가 별도로 업데이트하거나 삭제하지 않는 한 자동 실행된다. 따라서 보안 취약점이 노출되면 해커의 공격 경로로 꾸준히 악용될 수 있다.

안랩이 매직라인 취약점을 이용한 라자루스의 공격을 모니터링한 결과, 올해 1월부터 7월까지 약 7개월 동안 40곳의 기업 및 기관에서 총 105건이 탐지됐다. 

분야별로 매직라인 취약점 탐지 현황을 살펴보면, [통계 2]와 같이 IT 기업이 45건으로 가장 큰 비중을 차지하며, 방산(14건), 언론사(14)가 그 뒤를 잇는다. 

IT 기업은 IT 솔루션 제조업체, 계열사 IT 인프라 관리업체 등을 포함한다. 공격자는 표적을 직접공격하기보다는 이들 업체를 먼저 해킹함으로써 공격 대상이 사용 중인 IT 솔루션의 취약점, 운영 방식, 소스코드 등의 정보를 습득한다. 이 정보를 활용해 악성코드 유포 및 초기 침투를 수행하면 성공률이 더 높기 때문이다.

한 가지 더 눈여겨볼 만한 사실은, 취약점이 탐지된 매직라인이 대부분 최소 2년에서 최대 5년 전에 제작된 버전이라는 점이다. 앞서 설명한 것처럼, 매직라인은 설치 방식이 수동이기에, 사용자가 최신 버전으로 업데이트하지 않으면 처음 설치한 버전으로 계속 유지된다. 심지어 취약한 버전의 매직라인은 홈페이지 사용에 영향을 주지 않는다. 따라서 업데이트되지 않은 상태로 방치될 위험이 있으며, 악성코드에 감염되기 쉽다. 

[표 1] 매직라인 버전별 제작 시간 정보

안랩은 이번 사례를 매직라인 제조업체와 매직라인의 이름 일부를 조합해 ‘Operation Dream Magic’으로 명명했다. 또한, 매직라인 취약점 관련 악성코드 샘플을 수집하거나 C2 서버를 발견하면 국가 기관에 해당 내용을 공유하며 피해 확산 방지에 기여하고 있다.

본 보고서에서는 안랩의 악성코드 탐지 현황, 일부 기업의 협조를 얻어 수집한 로그 분석, 국가 기관과의 정보 공유를 바탕으로 매직라인 취약점 악용 사례를 해석한 내용과 더불어, 이를 라자루스의 소행으로 판단한 근거를 설명한다. 자세한 내용은 보고서 원문을 통해 확인할 수 있다.

▶보고서 원문 바로가기