침해사고/위협동향

이니텍 보안 취약점 이용한 北 해커··· 언론사·의료·방산·공공기관 등 피해

이종현
[디지털데일리 이종현기자] 북한이 국내 보안기업 제품의 취약점을 이용해 다수 기관을 침해했다. 언론사와 의료·바이오 및 방산기업, 공공기관까지 총 61개 기업의 207대 PC가 공격받았다.

18일 경찰 안보수사국은 작년 11월부터 금융보안인증 소프트웨어(SW) 취약점을 악용해 공격한 사건을 수사한 결과를 발표했다. 북한정찰총국이 배후로 알려진 ‘라자루스’에 의한 소행이라는 것이 경찰 판단이다.

라자루스는 2014년 미국 소니픽처스 해킹사건, 2017년 워너크라이 랜섬웨어 사건 등의 주범으로 꼽히는 조직이다. 금융망을 해킹해 금전을 탈취하는 활동이 주요 업무다. 경제제재를 받는 상황에서 외화벌이에 집중하고 있다는 것이 국가정보원(이하 국정원) 등의 시각이다.

이번에 라자루스가 타깃으로 한 것은 KT의 금융보안 계열사 이니텍이다. 이니텍은 금융보안인증 소프트웨어(SW) 기업으로, 금융 및 공공기관의 인증서 PC용 프로그램 ‘이니세이프’를 제공 중이다. 이니세이프는 전국 1000만대의 PC에 설치돼 있는 것으로 알려졌다.

라자루스는 2021년4월 이니세이프의 취약점을 찾아내 공격에 활용했다. 확인된 해킹 피해 규모는 국내 61개 기관 총 207대 PC다. 언론사 8곳, 의료·바이오 기업 4곳, 방산업체 3곳, 국가공무기관 3곳 등이 포함됐다. 실제 피해는 2022년6월 발생한 것으로 보인다.

경찰이 사태를 파악한 것은 2022년10월 한국인터넷진흥원(KISA) 신고로부터다. KISA는 과학기술정보통신부(이하 과기정통부) 산하기관으로 민간 영역의 사이버보안을 총괄하는 기관이다.

경찰은 취약 버전의 이니세이프가 설치된 컴퓨터가 특정 언론사 사이트에 접속하자 100분의 1초만에 악성코드 유포 서버로 연결돼 자동으로 악성코드가 설치되는 것을 확인했다고 전했다.

해당 취약점은 3월30일 국가정보원(이하 국정원), KISA 등으로부터 공개된 바 있다. 이니텍은 2월20일 취약점 공개 전 취약점을 보완한 패치를 배포하는 중이다. 지난 14일 기준 보안패치 적용율은 80% 수준이다.

경찰청은 이번 사건에서 확인된 해외 공격·피해지에 대한 국제 공조수사를 진행하는 한편 추가 피해 사례 및 유사 해킹 시도 가능성에 대한 수사를 계속 이어나간다는 계획이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널