한국은행이 패치하면 된다고요?···北 라자루스 해킹 막기 불가능

워터링 홀+리디렉션 이중 공격 확인 지금까지 정부 안전 주장 근거 없어 최근 공격받은 6곳도 이미 뚫렸나? 백도어 침투 이후는 수습도 어려워

2025-04-28     이상헌 기자
서울 종로구 한국은행 본관 전경. /여성경제신문DB

'무엇이 일어났나'만 설명하는 방식으론 고도화된 해킹을 막을 수 없다. 특히 한 번 뚫리면 재감염 루프를 남기는 워터링 홀과 리디렉션을 병행한 이중 공격은 패치만으론 끊기 어렵다. 한국은행이 2013년 이후 해마다 수백 건의 북한발 침투 시도를 받았지만 공격 루프를 완전히 차단하지 못한 기록이 증거다.

'워터링 홀+리디렉션' 이중 구조를 통해 사용자 감염 → 내부망 확산 → 장기 통제까지 이어진 라자루스의 공격 수법은 단순한 '이벤트 단위'가 아니었다. 결과적으로 북한의 전략·전술의 흐름 전체를 읽지 못하면 제대로 대응할 수 없는 구조란 점이 밝혀졌다.

북한 해킹 조직으로 알려진 라자루스 그룹이 한국 주요 산업을 노린 고도화된 해킹 수법이 포착됐다. 특정 사이트를 감염시켜 사용자를 유인하고 관심 있는 대상만 따로 골라 리디렉션(redirect)하는 '정밀 타겟팅' 기법이었다. 이어 소프트웨어 취약점을 이용해 내부망을 침투하고 최종적으로 백도어 악성코드를 심은 것으로 파악된다.

24일 여성경제신문이 카스퍼스키 최신 보고서를 분석한 결과 이번 해킹은 인기 웹사이트를 먼저 감염시켜 평범한 트래픽으로 위장한 뒤 목표로 삼은 사용자만 악성 페이지로 돌리는 ‘워터링 홀’ 공격과 ‘리디렉션 필터링’ 기법을 겹쳐 놓은 이중 구조로 확인됐다. 이 조합은 탐지 회피와 표적 정확도를 동시에 끌어올려 기존 보안 솔루션만으로는 대응이 어렵게 만든다.

지금까지 파악된 공격 흐름은 이렇다. 워터링 홀(인기 사이트를 먼저 감염시켜 평범한 사용자처럼 보이게 함)과 리디렉션 필터링(접속자의 소속·IP를 분석해 공격 대상만 골라 악성페이지로 이동하는 것) 활용 수법이다. 

국내 기업·공공기관에서 널리 쓰이는 파일 전송 솔루션 '이노릭스 에이전트'의 미공개 취약점(제로데이)을 이용해 서버에 원격 코드를 주입해 관리자 권한을 획득한 뒤 악성 파일을 정상적인 파일 전송 과정에 몰래 끼워 넣어 보안 시스템이 눈치채지 못하게 만든 뒤 내부로 퍼뜨렸다.

정부는 이노릭스 에이전트 취약점은 현재 긴급 패치가 완료된 상태라고 주장했다. 하지만 ‘패치 완료’라는 말은 사건 한 칸을 메꿨다는 뜻일 뿐, 공격 흐름 자체가 끊겼다는 의미가 아니다. 이노릭스를 막아도 다음 취약점이 연결되면 공격 루프는 즉시 되살아난다. 패치 선언만으론 북한의 해킹을 무력화했다고 볼 근거가 없다.

북한 정찰총국의 해킹조직인 라자루스 그룹이 전세계적으로 영역을 확장하고 있다. /라자스 탈취 사건(Lazarus Heist) BBC 팟캐스트 이미지

예를 들어 매일 사용하는 회사 인트라넷 사이트에 접속했는데 평소와 다를 바 없는 화면이 뜬다. 그러나 그 순간, 사용자의 소속을 감지한 백엔드 시스템이 몰래 악성코드를 심는다. 이후 내부망을 통해 다른 PC와 서버로 퍼지며, 정보를 탈취하거나 시스템을 마비시킬 수 있다.

카스퍼스키는 이번 공격을 싱크홀 작전(Operation SyncHole) 작전이라고 명명했다. 초기 침투 경로는 브라우저 플러그인과 보조 소프트웨어를 통해 이뤄졌으며 분석 결과 국내 IT·금융·반도체·통신 등 최소 6개 조직에서 같은 공격 패턴이 반복 확인됐다.

특히 이번 공격의 핵심은 단순 감염이 아니다. 정밀한 타겟 분리 취약점 활용 내부 침투 내부망 측면 확산 장기적 통제권 확보 목적이었다. 한국 소프트웨어 생태계에 깊은 이해를 갖고 감염→확산→은닉→장기 통제란 전략 전술을 펼친 것이었다.

감염이 단순히 한 대의 PC에 그치지 않고 파일 공유 서버, 프린터, 데이터베이스(DB) 서버, ERP 시스템 등 다양한 내부 시스템으로 확산될 수 있다는 얘기다. 이뿐 아니라 초기 감염된 PC에서 관리자 권한을 탈취하고 도메인 서버까지 장악해 조직 전체 사용자 패턴을 수집하는 시나리오가 전개된 것으로 해석된다.

특히 백도어가 설치된 이후에는 '잡아내는 것' 자체가 거의 불가능에 가깝다. 정상 프로그램(백업툴, 통신모듈 등) 안에 숨어 외형상 식별이 어렵고 윈도 재부팅에도 살아남는 지속성(persistence) 기법이 적용된다. 이뿐 아니라 외부 명령제어(C2) 서버와 통신할 때도 https 등 정상 트래픽을 가장해 방화벽 탐지를 회피하며, 평소에는 '비활성화' 상태로 숨어 있어 일반적인 안티바이러스 검사로는 드러나지 않는다. 

결국 북한의 사이버 전략·전술에 대응하려면 보안 원칙 강화와 ‘최악의 침투’ 가정을 전제로 한 모의훈련이 필수다. 어떤 경로로든 침투가 발생할 경우를 가정하고 워터링 홀 감염, 내부망 측면 이동, 백도어 은닉, 재감염 루프 구축을 방지하는 작업이 필요하다. 백도어 설치 이후는 수습 단계에 불과해 실질적인 방어 수단이 없다는 점을 명심해야 한다.

또한 서드파티 소프트웨어 취약점에 대한 선제 대응도 중요하다. 이노릭스 외에도 같은 계열의 취약 프로그램을 미리 리스트업해 취약점이 공개되기 전에 차단하는 선제 패치 전략이 필요하다. 보안 업계 관계자는 "무엇보다 선제적인 보안 전략을 갖춰야 한다"면서 "고차 추론형 인공지능 기반 플로우(Flow) NDR(행위 분석) 솔루션을 통해 워터링 홀·리디렉션을 조기에 탐지·차단하는 전담 모듈 도입도 시급해 보인다"고 강조했다.

여성경제신문 이상헌 기자 
liberty@seoulmedia.co.kr