[IT비즈뉴스 김진수 기자] 2014년 소니픽처스 해킹사건, 2016년 방글라데시 중앙은행 해킹사건의 주범으로 지목되고 있는 ‘라자루스(Lazarus)’의 APT 공격 징후가 다시 포착됐다.

2014년 미국연방수사국(FBI)은 라자루스를 특정 정부가 후원하고 있다고 밝힌 바 있다. 이 해커조직은 텔레그램 메신저 등을 통해 악성코드를 은밀히 유포하는 특징을 보이고 있다.

이스트시큐리티 시큐리티대응센터(ESRC)에 따르면, 이달 22일 자체 모니터링 시스템을 통해 라자루스그룹이 제작한 것으로 추정되는 악성파일이 발견됐다. 윈도(Windows)와 맥(MAC) 운영체제에서 동작하는 각각의 파일로 제작됐다.

‘연인심리테스트.xls’라는 엑셀(Excel) 문서형식과 ‘Album.app’이라는 맥 기반 응용프로그램이 동시에 발견됐으며 심리테스트를 가장한 엑셀 파일이 실행되면 한글로 된 질문 화면이 나타난다.

ESRC는 분석 결과 해당 악성코드는 지난 6월 ESRC가 외부에 분석 결과를 공개한 라자루스 APT조직, 텔레그램 메신저로 진실겜.xls 악성파일 공격과 매우 높은 연관성을 가진 것으로 나타났다. 당시 유포된 ‘진실겜.xls’ 악성 문서파일은 PC용 텔레그램 ‘Telegram Desktop’ 다운로드 폴더에서 발견됐다.

또 같은 달 ‘Operation : Shape Changer’ 인텔리전스 보고서에서 분석했던 라자루스그룹의 또 다른 공격과도 유사점이 존재하는 것으로 나타났다.

‘Operation : Shape Changer’ 공격은 라자루스그룹이 윈도와 맥 기반 악성파일을 동시에 유포한 사례로, 당시 유포했던 윈도용 파워쉘 스크립트, 맥용 악성 파일은 플랫폼이 다르지만 페이로드(Payload) 기능이 대부분 동일한 것으로 분석된 바 있다.

ESRC는 새롭게 발견된 라자루스 그룹 추정 공격 역시, 각 OS에서 동작하는 악성파일이 동시에 발견된 점으로 미루어보아 공격자가 멀티플랫폼 기반의 위협에 본격화한 것으로 판단하고 있다.

이메일이나 메신저를 통해 무심코 전달받은 미끼파일에 노출되면 즉시 PC가 악성코드에 감염되고, 봇(Bot)에 의해 각종 정보가 탈취되는 동시에 해커가 원격제어, 추가 악성파일이 설치된다.

ESRC 센터장 문종현 이사는 “이번 공격은 지난 6월에 암호화폐 사용자를 대상으로 했던 공격과 연관성이 많고 윈도와 맥OS 등 멀티 플랫폼에 대한 공격 가능성이 증대된 만큼, 기업과 기관은 물론 개인 사용자도 메신저 등에서 받은 파일을 열어볼 때 각별한 주의를 기울일 필요가 있다”고 당부했다.