워터링 홀 공격 과정

북한 라자루스, 한국 겨냥한 오퍼레이션 싱크홀 공격 

북한 해킹 조직인 라자루스 그룹이 국내에서 널리 사용되는 파일 전송 소프트웨어의 취약점을 악용해 한국을 공격한 정황이 드러났습니다. 이번 공격은 고도화된 워터링 홀 방식과 서드파티 소프트웨어 취약점 악용을 결합한 정밀 공급망 공격 형태로 전개 됐습니다. 

라자루스는 국내 행정 및 금융 시스템에서 보안 파일 전송 용으로 널리 활용되는 이노릭스 에이전트 취약점을 활용해 감염 시스템 내부로 측면 이동을 시도하고 최종적으로 ThreatNeedle, LPEClient 등의 악성코드를 배포해 내부 네트워크를 장악했습니다.

이번 새로운 사이버 공격을 오퍼레이션 싱크홀이라 명명했습니다. 라자루스는 소프트웨어, IT, 금융, 반도체, 통신 분야 등 최소 6개 한국 조직을 표적으로 삼았으며, 공격 에 악용된 소프트웨어의 보급률을 감안할 때 실제 피해 규모는 훨씬 더 클 것으로 보 입니다.

리다이렉션된 공격 페이지 (출처: 카스퍼스키) 

오퍼레이션 싱크홀 공격 흐름 

오퍼레이션 싱크홀 공격 흐름

공격자는 한국 사용자가 자주 방문하는 온라인 미디어 사이트를 감염시켜 워터링 홀 방식으로 피해자를 특정하고, 악성 리다이렉션 페이지를 통해 공격을 개시했습니다. 피해자의 브라우저는 공격자가 제어하는 사이트로 연결되며, 이후 Agamemnon이라는 악성 다운로더가 실행되면서 취약한 이노릭스 에이전트 버전(9.2.18.496)을 표적으로 악성코드를 설치했습니다. 

이 과정에서 한국산 정품 보안 프로그램 CrossEX의 하위 프로세스인 SyncHost.exe이 공격에 악용됐습니다. CrossEX는 브라우저 기반 환경에서 보안 파일 전송을 지원하는 도구로, 한국 내 기업 환경에 깊숙이 침투해 있는 특화 소프트웨어입니다. ThreatNeedle과 SIGNBT 백도어의 변종은 이 정품 프로세스 메모리 내에서 실행되며 탐지를 회피했습니다. 

이노릭스 외에도 브라우저 플러그인 등 다른 서드파티 도구들이 반복적으로 공격에 악용 됐습니다. 특히 해당 도구들은 높은 권한으로 실행되고 브라우저 메모리와 밀접하게 연동되기 때문에 공격자에게 매력적인 표적이 되므로 주의해야 합니다.

결론

라자루스 그룹은 한국 소프트웨어 생태계에 대한 깊은 이해를 바탕으로 다단계 사이버 공격을 수행하고 있습니다. 워터링 홀 방식과 서드파티 소프트웨어 취약점을 결합해 공격을 감행하는 과정에서 이노릭스 에이전트의 취약점이 악용됐고, 공격자는 이를 통해 추가 악성코드를 설치하며 내부 네트워크를 장악했습니다. 이번 사이버 공격은 사이버 보안 위협이 얼마나 고도화될 수 있는지를 보여주는 대표적인 사례로 정부와 민간 기업의 긴밀한 협력을 통해 위협 인텔리전스와 리소스를 공유하며 국가적 차원의 디지털 방어를 강화해 야 합니다. 

라자루스 공격 대응을 위한 보안 권고 사항

 • 소프트웨어 최신 업데이트

 • 정기적인 네트워크 및 자산 보안 감사

 • EDR/XDR 기반 실시간 위협 대응 체계 구축

 • 최신 위협 인텔리전스 활용