북한 해커 조직 '라자루스'가 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모 자료를 빼낸 사실이 정부 합동조사 결과 드러났다. 라자루스는 2007년 창설된 것으로 파악되고 있으며, 북한의 정찰총국과 긴밀한 관계를 맺고 있어 사실상의 북한 해커 집단으로 인식되고 있다.
12일 국가정보원 등에 따르면 라자루스는 북한 대남 공작의 총사령부인 정찰총국과 연계된 해커 조직으로 '김수키', '안다리엘'과 함께 북한의 3대 해킹 조직으로 불린다. 예전에는 '히든 코브라(HIDDEN COBRA)'라고 칭해지기도 했다. 미국 재무부는 이 그룹이 2007년 초 조직된 것으로 파악하고 있다.
앞서 라자루스는 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 사건 등에 연루됐다. 지난달에는 라자루스 등 북한 해킹 부대가 국내 방산기술을 탈취하기 위해 전방위로 공격한 정황이 경찰에 포착되기도 했다.
특히 2017년에는 영국 국민보건서비스(NHS) 공격을 기점으로 가상자산 거래소, 디파이(탈중앙화거래소), 플레이투언(Play to Earn, P2E) 프로젝트 등 가상자산도 가리지 않고 탈취하고 있다. 작년에는 16억 달러(약 2조1286억원)에 달하는 가상자산을 빼돌렸으며, 해킹으로 얻은 가상자산이 북한의 미사일 개발에 사용되고 있다는 분석도 있다. 우리 정부는 라자루스를 지난해 2월 사이버 분야 대북 제재 대상으로 지정했다.
경찰청 국가수사본부는 11일 라자루스가 2021년 1월 7일 이전부터 2023년 2월 9일까지 법원 전산망에 침입해 자료 1014GB를 외부로 전송했다고 밝혔다. 여기에는 주민등록번호나 계좌번호 같은 개인정보가 포함된 자필진술서, 채무증대와 지급불능 경위서, 혼인관계증명서, 진단서 등이 포함됐다.
국수본은 "공격자는 적어도 2021년 1월 7일 이전부터 법원 전산망에 침입해 있었는데, 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝히지 못했다"고 전했다. 문서 5171개를 제외한 나머지 유출 자료는 어떤 종류인지조차 확인되지 않는 상황이다.
이에 대해 "유출 자료를 받아본 법원에서 개인정보 여부를 판단해 피해자 수를 산정하게 될 것"이라고 했지만, 확인된 자료가 외부로 빠져나간 전체 자료의 0.5%에 그쳐 실질적인 피해 규모를 추산하기는 어려울 것으로 보인다.
수사 당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대 서버 결제 내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹 조직의 소행으로 결론 내렸다. 국수본은 "기존 북한발로 규명된 해킹 사건과 비교·분석한 결과 (라자루스가 주로 사용하는) 라자도어 악성코드, 서버 해킹 기법 등이 대부분 일치하는 것을 확인했다"고 설명했다.
한편 국정원은 북한이 노후 재고 무기를 러시아에 공급하고, 외국산 부품을 불법 조달해 신형 무기 생산에 활용한다는 관련 정황을 포착해 확인하고 있다. 국정원은 이날 러시아가 우크라이나 공격에 쓴 무기 가운데 1970년대 북한산 122㎜ 다연장로켓포가 포함되는 등 "이번 사안과 관련한 정황이 있어 정밀 분석 중"이라면서 "러시아와 북한 간 군사 협력 제반 사항에 대해 지속해서 추적하고 있다"고 말했다.
12일 국가정보원 등에 따르면 라자루스는 북한 대남 공작의 총사령부인 정찰총국과 연계된 해커 조직으로 '김수키', '안다리엘'과 함께 북한의 3대 해킹 조직으로 불린다. 예전에는 '히든 코브라(HIDDEN COBRA)'라고 칭해지기도 했다. 미국 재무부는 이 그룹이 2007년 초 조직된 것으로 파악하고 있다.
앞서 라자루스는 2014년 미국 소니픽처스 해킹, 2016년 방글라데시 중앙은행 해킹, 2017년 워너크라이 랜섬웨어 사건 등에 연루됐다. 지난달에는 라자루스 등 북한 해킹 부대가 국내 방산기술을 탈취하기 위해 전방위로 공격한 정황이 경찰에 포착되기도 했다.
특히 2017년에는 영국 국민보건서비스(NHS) 공격을 기점으로 가상자산 거래소, 디파이(탈중앙화거래소), 플레이투언(Play to Earn, P2E) 프로젝트 등 가상자산도 가리지 않고 탈취하고 있다. 작년에는 16억 달러(약 2조1286억원)에 달하는 가상자산을 빼돌렸으며, 해킹으로 얻은 가상자산이 북한의 미사일 개발에 사용되고 있다는 분석도 있다. 우리 정부는 라자루스를 지난해 2월 사이버 분야 대북 제재 대상으로 지정했다.
국수본은 "공격자는 적어도 2021년 1월 7일 이전부터 법원 전산망에 침입해 있었는데, 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝히지 못했다"고 전했다. 문서 5171개를 제외한 나머지 유출 자료는 어떤 종류인지조차 확인되지 않는 상황이다.
이에 대해 "유출 자료를 받아본 법원에서 개인정보 여부를 판단해 피해자 수를 산정하게 될 것"이라고 했지만, 확인된 자료가 외부로 빠져나간 전체 자료의 0.5%에 그쳐 실질적인 피해 규모를 추산하기는 어려울 것으로 보인다.
수사 당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대 서버 결제 내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹 조직의 소행으로 결론 내렸다. 국수본은 "기존 북한발로 규명된 해킹 사건과 비교·분석한 결과 (라자루스가 주로 사용하는) 라자도어 악성코드, 서버 해킹 기법 등이 대부분 일치하는 것을 확인했다"고 설명했다.
한편 국정원은 북한이 노후 재고 무기를 러시아에 공급하고, 외국산 부품을 불법 조달해 신형 무기 생산에 활용한다는 관련 정황을 포착해 확인하고 있다. 국정원은 이날 러시아가 우크라이나 공격에 쓴 무기 가운데 1970년대 북한산 122㎜ 다연장로켓포가 포함되는 등 "이번 사안과 관련한 정황이 있어 정밀 분석 중"이라면서 "러시아와 북한 간 군사 협력 제반 사항에 대해 지속해서 추적하고 있다"고 말했다.