북한 연계 해킹 조직이 최근 1년간 한국을 상대로 최소 58건의 지능형 지속 위협(APT) 공격을 감행한 것으로 분석됐다. 국내 최대 가상자산 거래소 업비트에서 발생한 445억원 규모 해킹 사건의 배후로 라자루스가 유력하게 거론되는 가운데, 해당 조직의 공격 패턴과 최근 사건의 정황이 다수 일치한다는 전문가 분석도 잇따르고 있다.
ICT 업계에 따르면 안랩은 ‘2025년 사이버 위협 동향 & 2026년 보안 전망’ 보고서를 통해 2024년 10월부터 올해 9월까지 공개된 APT 활동을 집계한 결과, 라자루스가 31건으로 가장 많은 공격을 수행한 것으로 나타났다고 밝혔다. 정찰총국 산하 또 다른 조직인 김수키는 27건으로 뒤를 이었다. 같은 기간 북한의 전체 APT 활동은 86건으로, 중국 27건, 러시아·인도 각 18건을 크게 앞질렀다.
라자루스는 가상자산·금융·IT·국방 등으로 공격 대상을 빠르게 확대하고 있다. 최근에는 맥OS와 리눅스까지 지원하는 멀티 플랫폼 악성코드를 제작해 클립보드 감시, 암호화폐 지갑 정보 탈취 등 기능을 고도화했다. 한국에서 널리 사용되는 소프트웨어 취약점을 이용한 ‘오퍼레이션 싱크홀’ 공격을 통해 최소 6개 조직이 침해된 정황도 확인됐다.
업비트 해킹 조사에서도 라자루스의 전술과 유사한 지점이 포착되고 있다. 지갑 서명 절차 변조, 주소 교체형 악성코드, MFA 우회, 공급망 침투 등 이 조직이 기존에 사용해온 기법과 이번 사건의 공격 구조가 상당 부분 겹친다는 분석이 제기됐다. 당국 역시 라자루스를 주요 배후로 검토 중이다.
김수키는 사회공학 기반의 스피어피싱을 주력으로 삼아 강연 요청·인터뷰 의뢰를 사칭한 악성 문서 배포, 러시아 도메인·한글 무료 도메인 활용, ISO·한글 파일 공격 등을 지속해 왔다. 최근에는 AI 기반 위조 신분증을 활용한 침투 정황도 보고서에 포함됐다.
About the Author
