올해 취약점이 드러난 드림시큐리티의 '매직라인(MagicLine4NX)'이 해킹조직에 여전히 유효한 공격 루트인 것으로 확인됐다. 드림시큐리티가 지난 3월 보안 패치를 마련했지만 사용자가 별도로 업데이트하지 않으면 무용지물이기 때문이다. 특히 북한 정찰총국 소속 해킹조직 라자루스가 매직라인 취약점을 노려 해킹 공격을 시도하고 있어 주의가 요구된다.
25일 안랩 시큐리티 대응센터(ASEC)에 따르면, 안티 바이러스 소프트웨어 'V3'로 지난달 15일부터 지난 11일까지 매직라인 취약점 버전이 깔린 개인용 컴퓨터(PC) 249만1719대를 탐지했다. 정부가 매직라인 업데이트를 당부한지 5개월이 넘은 시점에도 보안조치가 제대로 이뤄지지 않은 것이다.
매직라인은 국세청(연말정산)·관세청·나라장터 등 국가 기관 사이트나 은행·주식 등 금융거래 이용 시 공인인증을 목적으로 반드시 설치해야 하는 소프트웨어(SW)다. 경제 활동을 하는 대다수 국민의 PC에 모두 설치됐다고 봐도 무방하다. 매직라인 취약점은 우리나라 국민이 사용하는 PC를 해커의 도마 위에 올린 꼴이다.
이에 국가정보원과 과학기술정보통신부 등은 지난 6월 라자루스가 매직라인 취약점을 악용한 해킹 공격을 지속하고 있다며 조속한 업데이트를 당부한 데 이어 지난달에도 또다시 재경고했다. 일부 기관과 일반 사용자가 보안 조치를 미루는 사이에 매직라인이 북한의 해킹 창구로 악용되는 것을 탐지해서다. 나아가 국정원이 영국 정부통신본부(GCHQ) 소속 국가사이버안보센터(NCSC)와 공동으로 발표한 '사이버보안 권고문'에도 매직라인 취약점을 악용한 북한 해킹조직의 공격 수법을 담았다.
문제는 매직라인 취약점에 대한 보안 패치가 배포됐으나, 업데이트가 자동으로 수행되지 않아 여전히 동일 취약점을 통한 피해 사례가 반복적으로 발생하고 있다는 점이다. 안랩을 비롯한 하우리·이스트시큐리티 등 보안기업 3사가 지난달 15일부터 기업과 개인을 대상으로 매직라인 취약버전을 탐지하는 보안조치를 벌였지만, 치료(삭제) 여부는 확인할 수 없다. 매직라인 취약점이 PC에 설치돼 있는지 모르는 국민은 여전히 북한 해킹조직의 먹잇감이라는 얘기다.
안랩 ASEC는 또 라자루스가 올해 매직라인 취약점을 악용해 국내 업체 59곳을 공격한 것으로 파악했다. 업종별로 제조업이 17건으로 가장 많았다. 이어 SW(10건), 언론(7건), 방산(6건), 금융(4건) 순으로 집계됐다.
안랩 ASEC 관계자는 “제조업의 경우 공격이 성공한다면 생산라인 가동을 멈추는 등 피해가 직접적으로 나타날 수 있어 공격자가 더 많은 공격을 시도하는 것으로 예상된다”고 말했다.
아울러 안랩 ASEC는 라자루스 관련 침해사고 포렌식을 통해 올해 매직라인을 포함해 예티소프트 'VestCert', 엠엘소프트 'TCO!Stream'의 제로데이 취약점을 발견했다. 제로데이는 핵심 시스템의 보안 취약점이 발견됐으나 이를 막을 수 있는 패치가 나오지 않아 공격에 무방비로 노출된 상황을 말한다. 현재 해당 제품들은 취약점 보안 패치를 제공하고 있다. 반드시 패치 버전을 사용해야 안전하다.
또 라자루스는 이니세이프 크로스웹(INISAFE CrossWeb), 베라포트(VeraPort), 넷클라이언트(NetClient), 엔프로텍트(nProtect) 등 다양한 국내 SW를 공격에 이용했다.
안랩 ASEC 관계자는 “라자루스는 사용자가 취약한 버전의 SW가 설치된 시스템에서 웹 브라우저를 이용해 악성 스크립트가 삽입된 특정 웹 사이트에 방문하면 악성코드를 다운로드·실행하는 방식으로 공격한다”면서 “지난해까지 최초 감염 방법이 대부분 이메일에 첨부된 문서파일에 의한 것이었으나, 올해 공격 방식이 변화했다”고 말했다.
조재학 기자 2jh@etnews.com