국내 가상자산 거래소 업비트에서 445억원 상당의 자산이 빠져나간 사건을 둘러싸고 북한 정찰총국 산하 해킹 조직 라자루스가 유력 배후로 지목된 가운데, 지난 1년간 이 조직이 최소 31건의 공격을 벌인 것으로 나타났다. 기존 라자루스의 침투 방식과 이번 사고의 정황이 상당 부분 부합하면서 정부도 관련성을 면밀히 들여다보고 있다. 30일 정보통신기술(ICT) 업계에 따르면 안랩은 최근 발간한 '2025년 사이버 위협 동향 & 2026년 보안 전망' 보고서에서 지난해 10월부터 올해 9월까지 공개된 지능형 지속 공격(APT) 사례를 분석한 결과 라자루스가 31건으로 가장 많이 언급됐다고 밝혔다. 북한 정찰총국 산하의 또 다른 조직인 김수키(Kimsuky) 역시 27건을 기록해 두 조직만 58건에 달했다. 같은 기간 국가별 활동 건수도 북한이 86건으로 1위를 차지했으며 중국(27건), 러시아·인도(각 18건) 등이 뒤를 이었다. APT는 국가 단위의 지원을 기반으로 특정 산업이나 국가를 장기간 추적하며 침투하는 고도화된 공격을 의미한다. 안랩은 “이들 조직은 노출을 피하기 위해 은밀하게 움직이기 때문에 실제 공격 건수는 더 많을 가능성이 크다"며 일부 정부·공공기관 사례는 공개되지 않는 경우도 있다고 설명했다. 보고서에 따르면 라자루스는 최근 공격 대상을 가상자산·금융·정보기술(IT)·국방 등으로 확대하며 멀티 플랫폼 기반 악성코드를 적극 활용하고 있다. 맥OS와 리눅스 환경까지 지원하는 악성코드는 클립보드 감시, 암호화폐 지갑 정보 탈취 등 기능을 포함하고 있으며, 한국에서는 '오퍼레이션 싱크홀(Operation SyncHole)'로 불리는 취약점 악용 공격을 통해 IT·소프트웨어(SW)·금융 기업 등 최소 6개 조직을 노린 정황이 파악됐다. 정상 웹사이트에 악성 스크립트를 삽입해 방문만으로 감염이 이뤄지도록 하는 워터링홀 방식이 활용된 것으로 알려졌다. 업계는 최근 업비트 해킹에서도 라자루스의 기존 수법과 맞닿아 있는 요소가 반복적으로 포착된다고 보고 있다. 지갑 서명 절차 변조, 주소 교체형 악성코드, 다중 인증(MFA) 우회, 공급망 침투 등 라자루스가 해외 거래소 공격에 사용해온 방식과 유사한 흔적이 발견됐으며, 서명 과정에서 비정상적 조작이 발생한 직후 대규모 이체가 집행된 점, 이체 경로를 여러 지갑으로 분산한 방식 등도 기존 패턴과 일치한다는 평가다. 이에 정부도 라자루스를 핵심 용의선으로 두고 분석을 진행 중이다. 북한의 또 다른 대표 조직인 김수키는 사회공학 기반 스피어 피싱을 지속적으로 활용하고 있다. 김수키는 강연 요청서·인터뷰 제안 등을 사칭한 문서를 보내 악성 파일을 유포하는 방식으로 공격을 감행했으며, 러시아 도메인(mail.ru)이나 '내도메인.한국' 같은 한글 무료 도메인을 활용해 발신지를 숨기는 기법도 자주 쓰였다. ISO 파일과 한글 문서를 악용한 침투 역시 빈번하게 확인됐다. 김수키는 페이스북·텔레그램 등 소셜 플랫폼을 통한 다단계 공격도 확대하고 있으며, 최근에는 AI로 위조한 신분증을 이용한 정황도 보고됐다. 하위 조직 'Larva-24005'는 키 입력 탈취 기능을, 'Larva-24009'는 한국 이용자 대상 링크 기반 공격을 수행한 것으로 분석됐다. 이 밖에도 안다리엘(Andariel), 코니(Konni), TA-RedAnt 등 북한 연계 APT 조직들이 국내 금융·IT·공공 분야 전반에서 공격을 이어간 것으로 나타났다. 안랩은 “서비스형 랜섬웨어(RaaS) 같은 공격 생태계와 고도화된 침투 기술이 결합할 경우 피해 확산 속도가 더욱 빨라질 수 있다"며 “국제 제재를 받는 국가가 수익 확보 차원에서 사이버 공격을 활용할 가능성도 커지고 있다"고 경고했다. 보고서는 “북한 APT 조직은 가상자산 탈취에 특화된 악성코드를 지속적으로 개발하고 있으며, 디지털 의존도가 높은 한국은 앞으로도 집중 공격 대상이 될 가능성이 높다"고 분석했다. 장하은 기자 lamen910@ekn.kr

2025-11-30 10:05 장하은 기자 lamen910@ekn.kr