라자루스 그룹(Lazarus Group) 주요 해킹 사건

라자루스 그룹(Lazarus Group)은 북한과 연계된 악명 높은 해킹 조직으로,  정부 기관, 금융기관, 암호화폐 거래소 등을 대상으로 대규모 사이버 공격을 감행해 왔다. 최근에도 새로운 방식의 해킹 공격이 계속 보고되고 있다.

 다음은 대표적인 해킹 사례들이다.

▦ 2014년 소니 픽처스 해킹 사건

1. 배경

• 2014년 11월, 해커 그룹 "Guardians of Peace (GOP)" 가 소니 픽처스를 해킹하고 내부 데이터를 유출했다.
• 해킹의 원인은 김정은을 풍자한 영화 "인터뷰(The Interview)" 가 북한 정권에 대한 모욕으로 간주되었기 때문이다.

2. 해킹 과정 및 피해

• 소니 픽처스 직원들에게 랜섬웨어를 이용한 협박 메시지를 보냈으며, 주요 네트워크를 마비시켰다.
• 미개봉 영화, 직원 개인 정보, 임원들의 이메일, 급여 정보 등 100TB(테라바이트) 이상의 데이터를 유출했다.
• 해킹 이후, 미국 정부는 북한이 공격 배후라고 공식 발표하였으며, 북한은 이를 부인했지만 FBI는 북한과의 연관성을 확인했다.
• 소니는 결국 영화 "인터뷰"를 제한적으로 개봉하게 되었으며, 온라인 플랫폼을 통해 배급했다.

▦ 2016년 방글라데시 중앙은행 해킹 사건

1. 배경

• 2016년 2월, 라자루스 그룹은 방글라데시 중앙은행(Bangladesh Bank) 의 SWIFT 결제 시스템을 해킹하여 8,100만 달러를 탈취했다.
• 원래 목표는 10억 달러 이상이었으나, 우연한 오타로 인해 추가 인출이 차단되었다.

2. 해킹 과정 및 피해

• 해커들은 은행 내부 시스템에 악성코드를 심어 SWIFT 네트워크에 접근했다.
• 미국 뉴욕 연방준비은행(Fed)에 거짓 송금 요청(10억 달러 규모) 을 보냈다.
• 다행히 "foundation"을 "fandation"으로 오타를 내면서 일부 거래가 중단되었다.
• 그러나 8,100만 달러는 필리핀 카지노와 중국 기업 계좌를 통해 세탁되었고, 일부만 회수되었다.
• 이 사건은 라자루스 그룹이 기존 금융기관뿐만 아니라 국제 금융 시스템을 직접 공격할 수 있음을 보여준 사례로 평가된다.

▦ 2019년 업비트 해킹 사건

1. 배경

• 2019년 11월 27일, 한국의 대형 암호화폐 거래소 업비트(Upbit) 가 라자루스 그룹의 해킹 공격을 받아 580억 원 상당의 이더리움을 탈취당했다.

2. 해킹 과정 및 피해

• 해커들은 업비트의 핫월렛(Hot Wallet) 을 목표로 삼아 342,000 ETH (당시 580억 원 상당) 을 외부 계좌로 전송했다.
• 탈취된 자금은 여러 익명 지갑으로 분산 송금된 후, 믹싱 서비스(money laundering) 등을 이용해 세탁되었다.
• 업비트는 해킹 피해 복구를 위해 자체 자금을 사용했으며, 피해 고객들에게 100% 보상을 진행했다.
• 이후 한국 정부와 국제 보안 기관들은 이더리움 블록체인 주소를 추적하고 있으며, 일부 자금은 여전히 감시 대상이다.

▦ 2023년 대한민국 법원 전산망 해킹 사건

1. 배경

• 2023년 2월, 라자루스 그룹이 대한민국 법원 전산망을 해킹하여 약 1TB(1,000GB) 상당의 재판기록 및 소송 서류를 탈취했다.
• 해당 정보에는 재판 관련 기밀 문서, 소송 서류, 판결문 등이 포함된 것으로 추정된다.

2. 해킹 과정 및 피해

• 해커들은 법원 내부 시스템의 취약점을 노려 원격 접근을 시도했다.
• 침입 후, 주요 데이터 서버를 스캔하고 재판 관련 문서를 외부로 유출했다.
• 이 사건으로 인해 대한민국 사법 시스템의 보안 문제가 대두되었으며, 정부는 사법부 전산망 보안 강화를 위한 긴급 대응 조치를 시행했다.
• 이후, 국내 보안 기관들과 국제 보안 조직들이 협력하여 해킹된 데이터의 행방을 추적 중이다.

▦ 윈도우 드라이버 취약점 악용 (2024년)

1. 배경

• 라자루스 그룹은 Windows AFD.sys 드라이버의 제로데이 취약점(CVE-2024-38193) 을 이용하여 커널 권한을 획득하고, FUDModule 루트킷을 설치했다.
• 이를 통해 Windows의 보안 기능을 우회하고 탐지를 피하며 시스템을 지속적으로 감염시켰다.
• 이 공격은 브라질 암호화폐 투자자를 주요 표적으로 삼아 진행되었다.

2. 대응책

• 최신 보안 패치를 적용하고, 커널 모니터링을 강화하며, 신뢰할 수 있는 드라이버만 사용하도록 제한해야 한다.

▦ 신뢰받는 애플리케이션을 통한 데이터 유출 (2024~2025년)

1. 배경

• 라자루스 그룹은 Dropbox 같은 신뢰받는 클라우드 서비스를 이용하여 데이터를 탈취하는 수법을 사용했다.
• VPN 및 프록시 네트워크를 활용해 공격자의 위치를 숨기며, Remote Desktop Protocol (RDP) 을 이용하여 피해자의 시스템에 장기간 접속했다.
• 주요 피해자는 암호화폐 관련 소프트웨어 개발자 및 금융기관으로 보인다.

2. 대응책

• 소프트웨어 공급망을 보호하고, 네트워크 트래픽을 감시하며, 의심스러운 IP 주소를 차단하는 것이 중요하다.

▦ 2025년 이더리움 해킹 사건

2025년 2월 24일 이더리움 해킹 사건은 두바이에 기반을 둔 Bybit 거래소에서 발생했으며, 약 15억 달러 상당의 암호화폐가 탈취되었다. 이 해킹은 역사상 가장 큰 규모의 암호화폐 도난 사건 중 하나로 평가된다. 공격자는 Bybit의 이더리움 지갑을 장악한 후, 자산을 미확인 주소로 이체하는 방식으로 진행되었다​

 

1. 해킹 방법

 

(1) 보안 취약점 공격

• 해커들은 Bybit의 핫월렛과 콜드월렛 간 이체 과정에서 취약점을 찾아냈다. 콜드월렛에서 핫월렛으로 이체되는 과정에서 다중 서명 및 보안 검증이 필요하지만, 해커들은 이를 우회하여 자금을 탈취했다.

(2) 주소 위장 및 전송 조작

• 전송 과정에서 해커들이 자금을 미리 설정한 가짜 주소로 전송되도록 조작한 것으로 보인다.

(3) 사회공학적 공격 가능성

• Bybit가 강력한 방화벽을 갖추고 있음에도 불구하고, 해커들은 내부 직원들을 대상으로 피싱 공격을 시도했을 가능성이 크다​

2. 대응 및 복구 가능성

• Bybit 측은 모든 고객 자산이 1:1로 보장되며, 해킹으로 인한 손실을 자체적으로 충당할 수 있다고 발표했다.
• 블록체인 포렌식 전문가들이 도난 자금을 추적 중이며, 일부 자금의 회수 가능성이 검토되고 있다.
• 규제 기관에 해당 사건이 보고되었으며, 보안 강화를 위한 추가 조치가 이루어질 예정이다​

이번 사건은 암호화폐 거래소의 보안 취약점을 다시 한번 드러냈으며, 거래소들이 보안 강화를 위해 다중 인증, 실시간 모니터링, 강화된 콜드스토리지 시스템 등을 도입할 필요성이 커졌음을 시사한다.

 

▦ 결론 및 시사점

1. 라자루스 그룹의 해킹 사례를 보면

• 국가, 기업, 금융기관, 암호화폐 거래소 등 다양한 분야를 공격한다.
• 사회공학적 해킹, SWIFT 시스템 해킹, 블록체인 트랜잭션 조작 등 다양한 기법을 사용한다.
• 주로 자금 탈취, 정보 유출, 정치적 목적의 사이버 공격을 감행한다.
• 국가 및 기업 차원에서 보안 시스템 강화, 정기적인 보안 점검, 다중 인증 도입 등의 보안 조치가 반드시 필요하며, 개인들도 피싱 공격과 보안 위협에 대한 경각심을 가질 필요가 있다.

2. 대응 및 예방책

• 보안 업데이트 적용: 최신 보안 패치를 적용하여 제로데이 취약점을 예방한다.
• 소프트웨어 공급망 보호: 소프트웨어 업데이트 시 암호화 서명 검증을 필수적으로 수행한다.
• 네트워크 감시 강화: 의심스러운 트래픽과 RDP 활동을 모니터링하고 차단한다.
• VPN 및 프록시 사용 감시: 공격자가 사용하는 의심스러운 VPN 및 프록시 네트워크를 차단한다.
• 직원 보안 교육: 소셜 엔지니어링(예: 가짜 채용 제안)을 통한 해킹 공격을 방지하기 위해 보안 교육을 실시한다.

라자루스 그룹은 계속해서 새로운 방식의 해킹 기법을 개발하고 있으며, 특히 금융 및 암호화폐 업계를 주요 목표로 삼고 있다. 이에 따라 기업과 개인 모두 강력한 보안 전략을 마련해야 한다