인도원자력공사(NPCIL)가 30일(현지시간) 원전 1기의 네트워크가 북한 정부 산하 해커의 공격을 받아 가동을 중단했다고 밝혔다.
지난 24일 인도 쿠단쿨람 원자력발전소가 가동을 중단하면서 악성코드 감염 가능성이 트위터에서 처음 제기됐지만, 당시 NPCIL 이를 부인했다. 그런데 입장을 바꾼 것이다.
이번 공격에 대해 북한 해커그룹 라자루스가 사용하는 맬웨어 '디트랙(DTrack)'에 감염된 것이라는 추정이 지지를 받고 있다. 디트랙은 지난해 여름부터 인도 은행 네트워크에서 발견됐다. 라자루스는 지난달 14일 미국 재무부가 특별 제재 대상으로 추가한 북한 해커 그룹 중 하나다.
러시아 보안 업체 카스퍼스키 분석에 따르면 디트랙은 사용자 키 입력값을 가로채는 키로깅, 브라우저 기록 검색, 호스트 IP의 주소와 사용 가능한 네트워크, 활성화된 연결 등에 대한 정보 수집, 실행 중인 전체 프로세스 목록화, 사용 가능한 전체 디스크 볼륨에 있는 파일 리스트화 등을 수행한다.
관련기사
- 라자루스, 윈도·맥 동시에 노리는 APT 공격 재개2019.10.31
- 국토부, 고리원전서 드론방어체계 실증2019.10.31
- 북한 해커, 인도 ATM 노렸다2019.10.31
- 美 재무부, 北 해커그룹 3개 제재2019.10.31
문종현 이스트시큐리티 시큐리티대응센터장은 라자루스가 지난 2009년 실시한 7.7 디도스 공격 당시 사용한 코드와 이번 공격에 활용된 코드 간 동일성이 있다고 분석했다. 문종현 센터장은 "2009년 라자루스가 사용한 코드에는 특히 '련대(연대)'라는 북한식 표현이 포함돼 있다"고 지적했다.
카스퍼스키는 지난달 라자루스가 인도 ATM에서 결제 데이터를 훔치기 위해 사이버공격을 시도한 것으로 보인다는 분석을 내놨다. 이번 공격이 라자루스의 소행이라면 공격 대상으로 또다시 인도를 노린 셈이기도 하다.
