김수키·안다리엘·코니·TA-레드앤트까지…사회공학·AI 변조기술 동원하며 위협 고도화

[서울=검찰연합일보] =북한 정찰총국 산하 해킹조직 라자루스 그룹이 업비트 해킹 배후로 지목되면서 북한 APT 조직의 공격 수법이 다시 주목받고 있다. 글로벌 금융·통신·IT 산업을 향한 북한의 사이버 공격이 기술·사회공학 기법을 결합하며 고도화하고 있다는 분석이 나온다.

안랩이 30일 발표한 ‘2025년 사이버 위협 동향 & 2026년 전망’ 보고서에 따르면 지난해 10월부터 올해 9월까지 공개된 북한 해킹 조직의 APT 공격은 86건으로 전체의 절반가량을 차지했다. 국가 차원의 장기·지능형 침투를 뜻하는 APT 공격이 집중되면서 북한이 글로벌 사이버 위협의 핵심 축으로 부상하고 있다.

라자루스는 바이비트·비토프로 등 가상자산 거래소를 해킹한 주체로 지목돼 왔다. 이들은 맥OS와 리눅스를 동시에 지원하는 멀티 플랫폼 악성코드를 활용해 키로깅, 클립보드 감시, 브라우저 캐시·지갑 정보 탈취 등을 수행한다. 주된 침투 방식은 공급망 공격과 워터링 홀 기법이다. 정상 소프트웨어 업데이트 경로를 오염시키거나 특정 웹사이트를 감염시켜 표적 사용자를 유도하는 방식이다.

글로벌 보안기업 카스퍼스키는 라자루스가 국내 IT·금융·반도체 기업 6곳을 상대로 ‘오퍼레이션 싱크홀’ 공격을 진행했다고 분석했다. 이는 한국에서 널리 사용되는 소프트웨어 취약점을 악용하거나, 사용자가 반복 방문하는 웹사이트를 해킹해 악성코드를 심는 방식이다. 최근에는 AI 기반 가짜 면접 등 사회공학 기법도 적극 활용하는 것으로 알려졌다.

북한의 또 다른 해킹조직 김수키는 강연 의뢰나 인터뷰 요청으로 위장한 이메일 피싱을 주력 공격 수단으로 삼는다. ISO·LNK·MSC 파일로 금융·암호화폐 등 다양한 산업을 노리며, 러시아 도메인 ‘mail.ru’나 ‘내도메인.한국’ 등을 위장 수단으로 사용한다. 산하 그룹 ‘Larva-24009’는 정상 파일로 보이게 만든 LNK 파일을 통해 악성코드를 유포한 사례가 보고됐다. 김수키는 페이스북·텔레그램 등을 활용한 다단계 공격과 AI 기반 위조 신분증 사용도 능숙한 것으로 전해졌다.

안다리엘은 자격증명 탈취와 랜섬웨어 배포에 특화됐다. 한국 내 자산관리·문서 중앙화 솔루션을 표적으로 삼아 악성코드를 뿌렸고, 국내 보안기업 인증서를 탈취해 악성코드 서명에 활용한 전력도 있다.

김수키 계열로 알려진 코니는 북한 인권 활동가와 NGO 등을 대상으로 스피어피싱을 펼친다. 인권위 사칭 메일을 보내 피해자가 해킹 사고와 연루된 것처럼 유도한 뒤, 클릭 시 악성코드로 연결되는 URL 형태의 링크를 전달하는 방식이 대표적이다. 위장된 압축파일 내부에 LNK 파일을 심어 다단계 로딩으로 감염시키는 수법도 반복됐다.

TA-레드앤트는 대북 전문가·탈북자 등을 겨냥해 악성 문서·앱·클라우드 링크 등을 유포한다. JPEG 이미지에 악성코드를 숨기는 스테가노그래피, AI 기반 이미지·음성 변조를 이용한 사칭 공격 등 은폐성과 교란성이 높은 기법이 특징이다. 일부 피해 조직에는 랜섬웨어를 감염시킨 사례도 보고됐다.

전문가들은 북한 해킹조직이 기술공학적 침투와 사회공학적 기망을 결합한 혼합형 공격으로 발전하면서 국제 사이버 보안 환경 전반에 부담이 커지고 있다고 지적한다. 공격 범위가 금융·가상자산을 넘어 국가 기반 산업으로 확장되면서 방어 전략 또한 고도화가 필요하다는 경고가 제기된다.