북한 정부와 연계된 것으로 알려진 악명 높은 사이버 범죄 조직 ‘라자루스 그룹’이 의외로 허술한 운영 보안(Operational Security, OpSec) 관리 실태를 드러냈다는 분석이 나왔다. 이는 국제적인 암호화폐 거래소인 BitMEX의 보안 팀이 라자루스 그룹에 대한 역공격 조사를 수행하는 과정에서 밝혀진 내용이다. 이번 분석 결과는 고도로 정교한 공격 기술로 알려진 라자루스 그룹의 실체가 일부 허점투성이임을 시사하며 충격을 주고 있다.
BitMEX 보안 연구원들은 라자루스 그룹의 해커 네트워크를 추적하는 과정에서 여러 보안상 허점을 발견했다. 특히 주목할 만한 점은 최소 한 명의 해커가 실수로 자신의 실제 IP 주소를 노출했을 가능성이 높다는 것이다. 노출된 IP 주소는 해당 해커의 실제 위치가 중국 자싱(Jiaxing)에 있음을 보여준 것으로 전해진다. 일반적으로 국가 지원을 받는 해킹 조직은 자신들의 신원을 숨기기 위해 VPN 등 다양한 익명화 도구를 철저히 사용하지만, 라자루스 그룹의 일부 구성원은 이러한 기본적인 보안 수칙조차 제대로 지키지 않았을 가능성이 제기된 것이다. 또한, BitMEX 연구팀은 라자루스 그룹이 사용하는 것으로 추정되는 Supabase 데이터베이스 인스턴스에 접근하는 데 성공했다는 충격적인 사실도 공개했다.
Supabase는 애플리케이션을 위한 데이터베이스를 쉽게 배포하고 관리할 수 있는 플랫폼으로 알려져 있다. 해킹 조직이 피해자 정보나 작전 계획 등을 저장했을 가능성이 있는 핵심 인프라에 보안 허점이 존재했다는 것은 라자루스 그룹의 전반적인 운영 보안 수준에 대한 심각한 의문을 던진다. 보고서는 이러한 운영 보안의 허술함이 라자루스 그룹 내부의 비대칭성에서 비롯될 수 있다고 분석했다. 즉, 정교한 코드 익스플로잇을 개발하는 고도의 기술력을 가진 해커팀과 악성 소프트웨어 다운로드나 정보 유출을 유도하는 사회 공학적 공격을 수행하는 상대적으로 낮은 기술 수준의 팀 간에 보안 의식 및 숙련도 차이가 클 수 있다는 것이다. 이는 라자루스 그룹이 여러 하위 그룹으로 분화되어 각기 다른 역량을 가진 팀들이 협력하여 활동하고 있음을 시사하며, 이 과정에서 보안 관리가 통일되지 못하고 구멍이 발생할 수 있음을 의미한다.
최근 수년간 라자루스 그룹은 암호화폐 탈취, 랜섬웨어 공격, 스파이 활동 등 다양한 사이버 범죄 활동으로 국제 사회의 큰 우려를 사고 있다. 미국 FBI, 한국, 일본 등 여러 국가의 사법 및 정부 기관들은 라자루스 그룹의 활동에 대해 경고하고 있으며, 최근 블룸버그 보도에 따르면 G7 정상회의에서도 라자루스 그룹의 위협과 대응 방안이 논의될 가능성이 언급되고 있다. 이러한 가운데 라자루스 그룹의 기술력과는 별개로 운영 보안 측면에서 기본적인 실수를 저지르고 있다는 사실은 매우 흥미로운 지점이다. 이는 국제 사회의 추적 및 수사 노력이 강화되면서 해킹 조직의 인적 오류가 발생할 가능성이 높아지고 있음을 보여주는 사례일 수 있다.
물론 이번 분석 결과가 라자루스 그룹의 전체적인 역량을 평가절하할 근거는 되지 못하지만, 이들의 은밀한 활동에도 허점이 존재한다는 점을 확인시켜주는 중요한 단서가 된다. 향후 수사 기관들은 이러한 정보들을 바탕으로 라자루스 그룹의 인프라를 와해시키고 구성원들을 추적하는 데 더욱 집중할 것으로 전망된다.