연합뉴스가상자산 거래소 업비트에서 발생한 445억원 규모 해킹 사건의 배후로 북한 정찰총국 산하 사이버 조직 '라자루스(Lazarus)'가 유력하게 거론되고 있는 가운데, 최근 1년간 라자루스가 최소 31건의 해킹 공격을 감행한 것으로 확인됐다.
30일 정보통신기술(ICT) 업계에 따르면 안랩은 '2025년 사이버 위협 동향 & 2026년 보안 전망' 보고서를 통해 지난해 10월부터 올해 9월까지 공개된 주요 APT(지능형 지속 공격) 활동을 분석한 결과를 발표했다. 이 기간 가장 많이 언급된 조직은 라자루스로 31건이며, 북한 정찰총국 소속의 또 다른 APT 조직 '김수키(Kimsuky)'가 27건으로 뒤를 이었다.
국가별 APT 활동 빈도 또한 북한이 86건으로 가장 많았다. 안랩은 "APT 조직 특성상 실제 공격 횟수는 더 많을 수 있고, 일부 정부 기관 공격은 비공개로 처리되는 경우도 있다"고 설명했다.
안랩은 라자루스와 김수키가 정치·외교·금융·가상자산 등 다양한 분야를 대상으로 금전 탈취와 정보 수집을 목적으로 활동하고 있다고 분석했다.
이들은 특정 개인이나 조직을 정밀하게 겨냥해 악성 메일을 보내는 스피어피싱, 소프트웨어 개발 과정이나 업데이트 서버에 몰래 침투하는 공급망 공격, 여러 운영체제에서 작동하는 악성코드, 로그인 시 사용하는 다중 인증(MFA)을 우회하는 방식 등 한층 고도화된 수법을 동원하는 것으로 분석됐다.
특히 라자루스는 최근 공격 대상을 가상자산에서 금융·IT·국방 분야까지 넓히고 있으며, 윈도는 물론 맥OS·리눅스를 모두 지원하는 악성코드도 다수 제작한 것으로 나타났다. 이러한 악성코드에는 클립보드 감시, 지갑 주소 변조, 암호화폐 지갑 정보 탈취 기능 등이 포함된 것으로 분석됐다.
한국 내에서도 라자루스가 소프트웨어 취약점을 악용한 '오퍼레이션 싱크홀' 공격으로 최소 6개 조직을 침해한 정황이 확인됐다. 이는 정상 웹사이트에 악성 스크립트를 심어 접속만으로 감염이 이뤄지는 '워터링홀' 방식이 결합된 형태의 공격이다.
이번 업비트 해킹 조사에서도 라자루스의 기존 전술과 유사한 요소가 다수 포착되고 있다.
라자루스는 해외 거래소 공격에서 △지갑 서명 절차 변조 △주소 교체형 악성코드 △MFA 우회 △공급망 침투 등을 복합적으로 사용해왔는데, 업비트 사건에서도 서명 과정 조작 정황, 이체 경로 분산, 지갑 주소 변조 가능성 등이 확인돼 정부 당국이 라자루스를 유력 배후로 조사 중이다.
김수키 조직 역시 활동이 활발했다. 강연 의뢰나 인터뷰 요청을 사칭한 스피어피싱을 통해 악성 파일을 유포했고, 러시아 도메인(mail.ru)이나 한글 무료 도메인 등을 활용해 출처를 위장하는 방식도 사용한 것으로 나타났다. AI 기반 위조 신분증 사용 정황도 보고서에 포함됐다.
안랩은 "APT 조직의 침투 기술이 고도화되는 가운데 랜섬웨어 서비스(RaaS) 모델과 결합할 경우 피해 규모가 크게 확대될 수 있다"며 "제재 국가가 외화 확보 수단으로 사이버 공격을 활용할 가능성도 커지고 있다"고 경고했다.
이어 "북한 APT 조직은 가상자산 탈취에 특화된 악성코드를 지속 개발하고 있고, 한국은 디지털 의존도가 높아 주요 공격 대상으로 지목될 위험이 크다"고 분석했다