기사 메일전송
"北해커조직, 개발자 이용하는 코드뭉치 위장해 악성코드 유포"
  • 연합뉴스
  • 등록 2026-07-05 09:32:01
기사수정
  • 제이프로그 보고서…北정찰총국 소속 3대 해킹조직인 라자루스 의심


북한 해킹북한 해킹 [연합뉴스] 

북한 정부의 지원을 받는 것으로 추정되는 악성 해커 조직이 전 세계 소프트웨어(SW) 개발자들이 흔히 사용하는 유명 코드 뭉치(패키지)를 모방해 정보 탈취를 벌인 것으로 나타났다.


실리콘밸리 소재 글로벌 SW 기업 제이프로그 보안연구소는 자바스크립트 개발자들의 공식 SW 저장소인 'npm'에서 유명 코드 뭉치를 정밀하게 베낀 악성 패키지 6종을 발견했다고 4일(현지시간) 밝혔다.


개발자들은 일반적으로 코딩을 할 때 처음부터 끝까지 프로그램을 모두 짜지 않고 보편적으로 자주 쓰이는 기능은 그때그때 공용 저장소에서 내려받아 사용한다.


마치 목수가 가구를 만들 때 못이 필요하면 규격에 맞는 것을 철물점에서 사서 쓰는 것과 마찬가지다.


이런 관행을 노린 해커들은 한 달에 120만 건 이상 다운로드 되는 유명 코드 뭉치를 베껴 거기에 해킹을 위한 코드를 살짝 끼워 넣은 다음 진짜와 유사한 이름으로 올렸다.


예를 들어 정식 코드 뭉치인 'rollup-plugin-polyfill-node'와 혼동할 수 있는 이름인 'rollup-packages-polyfill-core'나 'rollup-runtime-polyfill-core' 등으로 게시하는 식이다.


개발자들이 패키지명을 모두 입력하지 않고 'rollup polyfill'과 같이 이름 일부만으로 검색한다는 점을 악용한 것이다.


안에 포함된 설명서와 홈페이지 주소 등도 원본과 똑같이 만들어 자세히 살펴보지 않는 이상 구분할 수 없도록 했다.


악성코드 탐지에 걸리지 않도록 치밀한 우회 기능도 여럿 넣었다.


우선 악성코드가 현재 실행되는 위치가 보안 위협 여부를 탐지하는 '샌드박스' 환경임을 인지하면 동작하지 않도록 했다.


또 악성 기능을 정상 코드로 위장해 숨기는가 하면, 핵심 악성코드는 패키지 안에 아예 담지 않은 채 설치·실행 시점에 외부에서 몰래 내려받아 실행하도록 하는 다단계 방식도 썼다.


이 때문에 패키지 자체만 검사해서는 악성코드 여부를 가려내기 어렵게 했다.


이번 공격은 일반 인터넷 사용자가 아니라, 기업 시스템을 구축하는 개발자 컴퓨터를 징검다리로 삼아 기업 전체를 해킹하려는 'SW 공급망 공격' 수법이다.


해커들은 이를 통해 컴퓨터 화면을 감시하거나 컴퓨터 통제권을 탈취하고, 가상화폐 지갑과 로그인 정보 등을 탈취하려 한 것으로 추정된다.


제이프로그 보안연구소는 이번 공격에 사용된 다단계 구조와 위장 수법, 정보 탈취·원격제어 방식 등이 과거 미국 정부가 북한 연계 해킹 조직으로 규정한 '라자루스' 활동 양상과 일치한다고 설명했다.


라자루스는 김수키·안다리엘과 더불어 북한 정찰총국 소속으로 알려진 3대 해킹 조직으로 지난해 한국의 가상자산 거래소 업비트를 해킹한 집단으로 지목된 바 있다.


저장소에 올라온 가짜 패키지 일부는 긴급 제재를 받아 정지됐다. 다만 이미 이를 설치한 개발자나 기업은 피해 여부 등을 철저히 확인해야 한다고 연구소는 당부했다. 


이 기사에 대해 어떻게 생각하시나요?
추천해요
0
좋아요
0
감동이에요
0
정기구독배너
모바일 버전 바로가기