북한 라자루스 그룹의 사이버 공격: 진화하는 위협과 국제사회의 대응

 

북한 라자루스 그룹의 사이버 공격: 진화하는 위협과 국제사회의 대응

북한의 해킹 조직 '라자루스 그룹(Lazarus Group)'이 전 세계적으로 주목받고 있습니다. 이 조직의 사이버 공격 능력이 지속적으로 진화하면서 국제사회의 우려가 커지고 있습니다. 이 글에서는 라자루스 그룹의 활동, 최근 공격 사례, 그리고 이에 대한 국제사회의 대응에 대해 자세히 살펴보겠습니다.

 

 

 

 

 

 

 

 

라자루스 그룹의 정체

라자루스 그룹은 북한 정찰총국 산하의 해커 부대로 알려져 있습니다. 과거에는 '히든 코브라(HIDDEN COBRA)'라는 이름으로도 불렸습니다1. 이 조직의 활동은 2009년경부터 본격적으로 포착되기 시작했으며, 2015년 기준으로 북한은 정찰총국 등을 중심으로 약 7,000명의 해커 부대를 운용 중인 것으로 추정됩니다

 

 

 

 

 

 

 

 

주요 공격 사례

라자루스 그룹은 다양한 고profile 사이버 공격의 배후로 지목되어 왔습니다:

1. 2014년 소니 픽처스 해킹: 북한 지도자를 희화화한 영화 제작에 대한 보복으로 추정되는 공격
2. 2016년 방글라데시 중앙은행 해킹: 1억 100만 달러 탈취 시도
3. 2017년 워너크라이(WannaCry) 랜섬웨어 유포
4. 2019년 인도 현금자동입출금기(ATM) 공격
5. 2025년 바이비트(Bybit) 해킹: 약 15억 달러(약 2조 1천 5백억원) 상당의 암호화폐 탈취

 

 

 

 

 

 

 

라자루스 그룹의 공격 목적

미 법무부 관계자에 따르면, 라자루스 그룹의 활동 목적은 크게 세 가지로 분류됩니다

1. 금전적 이익: 가장 주요한 목적으로, 암호화폐 탈취와 랜섬웨어 공격 등이 포함됩니다.
2. 애국주의: 북한 정권에 대한 비판을 억제하거나 보복하는 목적의 공격입니다.
3. 첩보 활동: 상대적으로 비중은 작지만, 군사 및 정치적 정보 수집을 위한 활동도 있습니다.

 

 

 

 

 

 

 

최근 공격 동향

라자루스 그룹의 공격 방식은 지속적으로 진화하고 있습니다:

1. 오픈소스 프로젝트를 이용한 공급망 공격

2025년 초, 라자루스 그룹은 '팬텀 서킷(Phantom Circuit)' 작전을 통해 오픈소스 프로젝트를 악용한 대규모 공급망 공격을 감행했습니다 이 공격은 주로 개발자와 암호화폐 업계를 대상으로 했으며, 다음과 같은 특징을 보였습니다:

• 깃랩(GitLab)과 같은 코드 공유 플랫폼을 통해 악성코드가 삽입된 오픈소스 프로젝트를 배포
• 코드멘토(Codementor), 코인프로퍼티(CoinProperty) 등 암호화폐 및 웹3 관련 프로젝트를 주로 타겟팅
• 개발자들이 악성 프로젝트를 다운로드하고 실행하도록 유도하여 백도어 설치

 

 

 

 

 

 

2. AI를 활용한 공격 기법 고도화

라자루스 그룹은 최근 인공지능(AI)을 활용하여 공격 기법을 더욱 정교화하고 있습니다:

• 구글의 AI '제미나이(Gemini)'를 활용한 해킹 작전 강화
• AI를 이용한 더욱 정교한 피싱 이메일 작성
• 공격 대상에 대한 심층 연구 및 분석에 AI 활용
• AI를 활용한 설득력 있는 가짜 이력서 작성으로 목표 기관 침투 시도

 

 

 

 

 

 

3. 새로운 악성코드 'CookiePlus' 활용

카스퍼스키 글로벌 연구 분석팀(GReAT)에 따르면, 라자루스 그룹은 2025년 초 새로운 모듈식 백도어 'CookiePlus'를 이용해 핵 관련 조직의 직원들을 대상으로 사이버 공격을 감행했습니다 이 공격은 'Operation DreamJob' 또는 'DeathNote'로 알려진 지속적인 캠페인의 일환으로, 다음과 같은 특징을 보였습니다:

• 유럽, 라틴아메리카, 한국, 아프리카의 IT 및 방위 산업 기업들로 대상 확대
• 브라질의 핵 관련 조직과 베트남의 특정 산업 분야 직원들을 표적으로 삼음
• LinkedIn과 같은 구직 플랫폼을 통해 악성코드 배포
• 복잡한 감염 체인 구조와 변조된 VNC 소프트웨어 활용

 

 

 

 

 

반응형

 

국제사회의 대응

라자루스 그룹의 위협에 대응하기 위해 국제사회는 다양한 노력을 기울이고 있습니다:

1. 미국의 대응

• 미 재무부는 라자루스 그룹을 제재 대상으로 지정2
• FBI와 법무부는 라자루스 그룹의 활동에 대한 증거 수집 및 수사 강화12
• 사이버보안 및 인프라보안국(CISA)은 라자루스 그룹의 활동에 대한 경고 및 대응 지침 제공

2. 국제 협력 강화

• 미국, 일본, 한국 정부의 공동 대응 및 정보 공유2
• 사이버보안 기업들과의 협력을 통한 위협 정보 공유 및 대응 전략 수립

3. 피해 기업의 대응

바이비트(Bybit)의 사례는 피해 기업의 적극적인 대응을 보여줍니다15:

• 라자루스 그룹의 지갑 주소를 추적하는 웹사이트 개설
• 암호화폐 커뮤니티의 협력을 통한 도난 자산 추적
• 도난 자산 동결에 기여한 사용자에게 현상금 지급 (동결 금액의 5%)

 

 

 

 

 

 

 

 

라자루스 그룹의 공격 기법

라자루스 그룹은 다양한 공격 기법을 사용하여 목표를 달성합니다:

1. 스피어 피싱(Spear Phishing)

가장 흔히 사용되는 방법 중 하나로, 특정 개인이나 조직을 겨냥한 맞춤형 피싱 공격입니다12. 이 방법은 다음과 같은 특징을 가집니다:

• 신뢰할 수 있는 출처로 위장한 이메일 사용
• 개인화된 정보를 포함하여 신뢰성 증대
• 악성 첨부 파일이나 링크를 통해 시스템 침투

 

 

2. 워터링 홀(Watering Hole) 공격

자주 방문하는 웹사이트를 감염시켜 사용자들을 공격하는 방식입니다11. 특징은 다음과 같습니다:

• 목표 그룹이 자주 방문하는 웹사이트 선정
• 해당 웹사이트에 악성코드 삽입
• 방문자의 시스템을 자동으로 감염시킴

 

 

3. 공급망 공격(Supply Chain Attack)

신뢰할 수 있는 소프트웨어나 서비스 제공업체를 통해 악성코드를 유포하는 방식입니다8. 주요 특징은 다음과 같습니다:

• 합법적인 소프트웨어 업데이트 프로세스를 악용
• 광범위한 피해 가능성
• 탐지가 어려워 장기간 지속될 수 있음

 

4. 제로데이(Zero-day) 취약점 활용

아직 알려지지 않은 소프트웨어 취약점을 이용한 공격 방식입니다. 특징은 다음과 같습니다:

• 높은 성공률
• 탐지 및 방어가 매우 어려움
• 고가의 취약점 정보를 구매하거나 자체 발견하여 활용

 

 

5. 사회공학적 기법

인간의 심리를 이용하여 정보를 탈취하거나 시스템에 접근하는 방식입니다. 주요 특징은 다음과 같습니다:

• 신뢰 관계를 구축한 후 악용
• 긴급성이나 권위를 이용한 심리 조작
• 온라인 구인구직 플랫폼 등을 활용한 접근

 

 

라자루스 그룹의 자금 세탁 기법

라자루스 그룹은 탈취한 자금을 세탁하기 위해 다양한 방법을 사용합니다

1. 크로스체인 브릿지 활용: 서로 다른 블록체인 네트워크 간 자산 이동을 통해 추적을 어렵게 함
2. 암호화폐 믹서 사용: 여러 거래를 혼합하여 자금의 출처를 숨김
3. 다양한 암호화폐 활용: DAI, USDC, WBTC 등 여러 종류의 암호화폐를 사용하여 추적을 복잡하게 만듦
4. 레일건 믹서: 최근 새롭게 활용되고 있는 자금 세탁 도구
5. 동남아시아 지역 환전 서비스 이용: 규제가 상대적으로 느슨한 지역의 서비스를 활용

 

 

 

 

라자루스 그룹의 위협에 대한 대응 방안

라자루스 그룹의 사이버 공격에 대응하기 위해서는 다음과 같은 방안들이 필요합니다:

1. 보안 인식 제고 및 교육

• 직원들에 대한 정기적인 보안 교육 실시
• 피싱 공격 식별 능력 향상 훈련
• 의심스러운 활동 보고 문화 조성

2. 기술적 보안 강화

• 최신 보안 패치 및 업데이트 적용
• 다중 인증(MFA) 의무화
• 네트워크 세그먼테이션 및 접근 제어 강화
• 엔드포인트 탐지 및 대응(EDR) 솔루션 도입

3. 암호화폐 거래소 및 기업의 보안 강화

• 콜드 월렛 사용 확대
• 대규모 거래에 대한 다중 승인 프로세스 구축
• 실시간 거래 모니터링 시스템 도입

4. 국제 협력 강화

• 사이버 위협 정보 공유 플랫폼 구축
• 공동 대응 훈련 및 시뮬레이션 실시
• 법적, 외교적 대응 방안 마련

5. 연구 및 개발 투자

• AI 기반 위협 탐지 기술 개발
• 블록체인 포렌식 기술 향상
• 새로운 암호화 기술 연구

 

 

 

 

 

결론

라자루스 그룹으로 대표되는 북한의 사이버 공격 능력은 지속적으로 진화하고 있으며, 이는 전 세계적인 위협이 되고 있습니다. 특히 암호화폐 분야