가상자산 거래소 업비트에서 발생한 445억원 규모 해킹 사건의 배후로 북한 정찰총국 산하 해킹 조직 라자루스(Lazarus)가 유력하게 거론되는 가운데 최근 1년간 라자루스가 최소 31건의 해킹 공격을 감행한 것으로 확인됐습니다.

오늘(30일) 정보통신기술(ICT) 업계에 따르면 안랩은 이러한 내용을 담은 '2025년 사이버 위협 동향 & 2026년 보안 전망' 보고서를 펴냈습니다.

안랩이 지난해 10월∼올해 9월 사이 공개된 APT(지능형 지속 공격) 그룹 활동 내역을 조사한 결과 가장 많이 언급된 곳은 라자루스로 31건, 북한 정찰총국 산하의 또 다른 해킹 조직인 김수키(Kimsuky)가 27건으로 뒤를 이었습니다.

1년 사이 북한 해킹세력에 의해 58건의 공격이 감행된 것입니다.

APT는 국가적 차원에서 정교하고 장기적으로 이뤄지는 해킹 방식을 뜻합니다.

같은 기간 국가별 활동 건수는 북한이 86건으로 가장 많았고 중국 27건, 러시아·인도 각 18건, 파키스탄 17건 순이었습니다.

안랩은 "은밀하게 활동하는 APT 조직 특성상 실제 공격 건수는 더 많을 수 있으며, 일부 정부 기관 공격은 공개되지 않는 경우도 있다"고 설명했습니다.

안랩에 따르면 라자루스와 김수키는 정치, 외교, 금융, 암호화폐 등 다양한 산업을 대상으로 금전적 이익과 정보 수집을 노리고 있습니다.

이들은 스피어 피싱, 공급망 공격, 멀티 플랫폼 악성코드, 권한 상승, MFA(다중 인증) 우회 등 고도화된 공격 기법을 활용하는 것이 특징입니다.

특히 라자루스의 경우 최근 공격 대상을 ▲가상자산 ▲금융 ▲정보기술(IT) ▲국방 등으로 넓히고 있습니다.

맥 운영체제(OS)와 리눅스까지 지원하는 멀티 플랫폼 악성코드를 다수 개발했으며 이러한 악성코드에는 클립보드 감시, 암호화폐 지갑 정보 탈취 기능이 포함된 것으로 분석됐습니다.

라자루스는 소프트웨어 취약점을 악용한 '오퍼레이션 싱크홀(Operation SyncHole)' 공격으로 한국에서 IT·소프트웨어(SW)·금융 등 최소 6개 조직을 침해한 정황도 확인됐습니다.

정상 웹사이트에 악성코드를 심어 이용자가 접속했을 때 감염이 이뤄지도록 하는 워터링홀 기법이 결합된 구조로, 한국에서 널리 사용되는 SW 취약점을 통로로 삼는 방식입니다.

최근 업비트 해킹을 둘러싼 조사에서도 라자루스의 기존 전술과 닮은 점이 다수 발견되고 있습니다.

안랩은 김수키 그룹의 특징으로는 위장과 사회공학적 스피어 피싱을 꼽았습니다.

김수키는 강연 의뢰서나 인터뷰 요청을 사칭해 악성 파일을 유포하는 방식으로 공격을 감행했으며, 'mail.ru' 같은 러시아 이메일 도메인이나 '내도메인.한국' 등 한글 무료 도메인을 활용해 출처를 숨기는 방식도 사용했습니다.

ISO 파일이나 한글 문서를 활용한 공격 역시 잦았습니다.

안랩 보고서는 "해킹 그룹의 고도화된 침투 기술과 서비스형 랜섬웨어(RaaS) 메커니즘이 결합하면 공격 성공률과 피해 규모가 더욱 확대될 수 있다"며 "국제 제재 국가가 수익 확보를 위해 사이버 공격을 활용할 가능성도 커지고 있다"고 경고했습니다.

보고서는 이어 "북한 APT 조직은 가상자산 탈취에 특화된 악성코드를 지속 개발하고 있으며 한국은 디지털 의존도가 높아 집중 공격 대상이 될 가능성이 높다"는 분석도 내놨습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

임혜준(junelim@yna.co.kr)