미국 법무부가 최근 기소했던 북한 해커가 연루된 해킹조직인 ‘라자루스’가 다시 활동을 재개한 것으로 알려졌다.

국내 민간 컴퓨터 보안업체인 이스트시큐리티(East Security)는 "특정 정부기반의 후원을 받는 것으로 보여지는 사이버 위협조직이 2018년 10월 현재도 지속적인 활동 정황이 포착되고 있다”고 RFA에 말했다.

그러면서 "이번 사이버 위협의 배후로 알려진 조직은 일명 '라자루스(Lazarus)'로 이미 유사한 공격 사례가 지속적으로 보고되고 있다"고 진단했다.

이 업체의 문종현 이사는 “특히 라자루스(Lazarus)로 알려진 이 공격집단은 민관 첩보수집 활동 이외에도 암호화폐 거래소나 해당 회원 등을 대상으로 해킹시도를 지속할 수 있어 각별한 대비가 필요하다”고 지적했다.

북한 해킹조직인 ‘라자루스’는 지난해 5월 전 세계 150여 개국 30여 만대의 컴퓨터를 강타한 ‘워너크라이’ 랜섬웨어 공격의 배후로도 의심받고 있으며, 지난 9월 미국 정부가 처음으로 해커 이름과 얼굴까지 공개한 북한 해커 박진혁이 소속된 조직이다.

이스트시큐리티에 따르면 이번 공격은 정상적인 한글 파일처럼 위장해 사이버 공격을 하는 일반적이고 통상적인 수법을 이용했다.

특히 이번에 새롭게 발견된 악성코드의 한글 파일명은 ‘국가핵심인력등록관리제등검토요청(10.16)(김경환변호사).hwp’로 한국의 변호사 이름이 담겨있으며, 이 한글 파일은 2018년 10월 21일 제작됐다.

이번 공격에서 지난 3월 포착된 '작전명 배틀 크루저'(Operation Battle Cruiser) 공격과 달리 파일명과 확장명은 변경됐지만, 컴퓨터 언어의 일종인 익스포트 함수명을 동일하게 그대로 재활용했다.

‘라자루스’가 이번 공격에서 사용한 내부 익스포트 함수명은 ‘battle32.dll’, ‘battle64.dll’로 3월과 동일한 언어가 그대로 이용됐다고 했다.

아울러 익명을 요구한 한 컴퓨터 보안 전문가는 23일 3차례 열린 남북 정상회담 이후 남북 관계에 관심이 많아지면서, 최근 한국 통일부 직원을 사칭한 북한 소행의 해킹 이메일도 부쩍 많이 늘었났다"고 공개했다.

이 해킹 이메일은 한국 통일부의 한 사무관의 이름과 주소(@unikorea.go.kr)로 보내져 ‘북한의 제3차 남북 정상회담 전략’이라는 한글 파일에 악성코드가 숨겨져 있다고 지적했다.