라자루스부터 안다리엘까지…북한 3대 해킹조직 어떻게 침투했나
가상자산 탈취용 멀티 악성코드·LNK 위장 파일 활용
대북 단체·탈북민 대상 정밀 스피어피싱 급증
(서울=연합뉴스) 오지은 기자 = 북한 정찰총국 산하 해킹그룹 라자루스 그룹이 업비트를 해킹했을 가능성이 있는 집단으로 지목되면서 북한의 해킹 수법에 대해 관심이 쏠리고 있다.
30일 안랩[053800]의 '2025년 사이버 위협 동향 & 2026년 전망' 보고서에 따르면 올해(지난해 10월∼올해 9월) 북한 해킹 그룹의 APT 공격은 모두 86건으로 공개된 공격의 절반가량을 차지했다.
APT 공격은 국가적 차원에서 정교하고 장기적으로 이뤄지는 지능형 지속 위협을 의미한다.
이처럼 북한은 고도화된 기법으로 전 세계의 금융, 통신, 정보통신 산업 등을 표적으로 삼으며 새로운 글로벌 위협으로 부상하고 있다.
북한 정찰총국 산하 해킹그룹으로 알려진 라자루스(Lazarus), 김수키(Kimsuky), 안다리엘(Andariel). 이들은 어떤 수법으로 공격 대상에 침투하고 경제적 이익을 탈취할까.
◇ '가상자산 해킹' 라자루스, 보안 취약점 악용·악성코드 유포
먼저 바이비트, 비토프로 등 가상자산 거래소를 해킹한 것으로 알려진 라자루스는 맥 운영체제(OS)와 리눅스를 동시에 지원하는 멀티 플랫폼 악성코드를 사용한다.
해당 악성코드는 키 로깅(키보드 입력 내용을 기록), 클립보드 감시, 브라우저 캐시와 암호화폐 지갑 정보 탈취 기능을 포함한다.
공격 기법으로는 공급망 공격과 워터링 홀 기법이 주로 사용됐다. 공급망 공격은 해킹 그룹이 기업의 보안 취약점을 활용해 정상적인 소프트웨어(SW)나 업데이트로 악성코드를 유포하는 공격이고, 워터링 홀 기법은 웹사이트를 감염시켜 사용자 그룹을 표적으로 삼는 사이버 공격이다.
또 글로벌 보안 기업 카스퍼스키에 따르면 라자루스는 국내 IT, 금융, 반도체 기업 6곳을 대상으로 공급망 공격을 벌였다.
이때 사용된 공격 기법은 소프트웨어 취약점을 악용한 '오퍼레이션 싱크홀' 방식이다.
해당 공격 기법은 공격 대상자가 자주 방문하는 정상적인 웹사이트를 해킹해 악성 코드를 심어놓고 방문자가 해당 사이트를 접속할 때 감염되도록 유도하거나, 한국에서 널리 사용되는 SW의 취약점을 악용해 시스템에 침투하는 방식이다.
이들은 기술공학적 뿐만 아니라 사회공학적 공격 기법에도 능하다. AI 기반의 가짜 면접 등 고도의 심리 전술로 피해자를 유인하는 기법이 대표적이다.
◇ '위장 전술' 김수키·'자격증명 탈취' 안다리엘
북한 정찰총국 산하의 또 다른 해킹그룹 김수키의 주된 공격 방법은 위장과 이메일 피싱이다.
이들은 강연 의뢰서나 인터뷰 요청을 위장한 피싱으로 ISO, LNK, MSC 등 다양한 파일을 유포해 금융, 암호화폐 등 다양한 산업을 대상을 공격 대상으로 삼았다.
이메일 피싱의 경우 러시아 이메일 도메인인 'mail.ru'와 한글 무료 도메인인 '내도메인.한국'로 위장해 ISO 파일과 한글 문서로 공격을 지속했다.
이들은 페이스북, 텔레그램 등 다양한 채널을 활용해 다단계 공격을 감행하고 인공지능(AI) 기반 위조 신분증도 능수능란하게 사용하는 것으로 전해졌다.
김수키 그룹 산하에는 여러 하위 그룹이 존재하는데 이중 'Larva-24009'는 한국 사용자를 대상으로 정상 파일로 위장한 LNK(바로가기) 파일로 악성코드를 유포한 바 있다.
역시 북한 정찰총국 산하 해킹 조직인 안다리엘은 자격증명 탈취 기법과 랜섬웨어 배포로 공격을 지속 중이다.
특히 안다리엘은 한국에서 자산관리와 문서 중앙화 설루션을 대상으로 악성코드를 배포했고, 한국 보안 기업의 인증서를 탈취해 악성코드에 서명하는 공격 기법을 사용하기도 했다.
◇ 코니·TA-레드앤트…대북 전문가·탈북자 겨냥해
김수키 그룹과 연계된 것으로 알려진 코니는 주로 한국의 북한 인권 활동가, 비정부기구(NGO) 등을 대상으로 사이버 공격을 수행한다.
지니언스[263860] 시큐리티 센터에 따르면 이들은 국가인권위원회(인권위)를 사칭한 스피어피싱 메일을 배포하고 수신자가 해킹 사고나 인권침해 사건에 연루된 것처럼 유도했다. 스피어피싱은 특정 개인이나 조직을 표적으로 공격하는 수법이다.
수신자가 답변 메일을 보내면 코니가 회신 메일에 URL 주소처럼 보이게 만든 링크를 보내고, 수신자가 이를 클릭하면 악성 코드로 연결된다.
코니가 보내는 압축파일에는 위장된 바로가기 파일이 삽입돼있어 사용자가 이를 실행하면 다단계 로딩으로 악성코드가 유포되도록 했다.
TA-레드앤트(RedAnt)도 코니와 마찬가지로 대북 전문가, 탈북자 등 북한 관련 인물을 대상으로 해킹 메일, 모바일 앱을 유포하는 조직으로 알려져 왔다.
이들은 스피어[347700] 피싱, 악성 문서·설치파일 유포, 클라우드 링크와 같은 다양한 공격기법을 사용하는데 특히 JPEG 이미지에 악성코드를 숨기는 스테가노그래피 등 은폐 기술이 주요 특징으로 꼽힌다.
안랩에 따르면 TA-레드앤트는 AI 이미지와 음성 변조를 활용해 실존 인물을 사칭하고 학술행사와 뉴스레터로 위장하는 등 사회공학적 기법도 사용한다.
안랩은 TA-레드앤트가 일부 피해 조직에 랜섬웨어를 감염시켜 금전적 피해를 주기도 하는 등, 공격 기법을 진화하며 글로벌 위협으로 부상할 수 있다고 내다봤다.
built@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
가상자산 탈취용 멀티 악성코드·LNK 위장 파일 활용
대북 단체·탈북민 대상 정밀 스피어피싱 급증
(서울=연합뉴스) 오지은 기자 = 북한 정찰총국 산하 해킹그룹 라자루스 그룹이 업비트를 해킹했을 가능성이 있는 집단으로 지목되면서 북한의 해킹 수법에 대해 관심이 쏠리고 있다.
30일 안랩[053800]의 '2025년 사이버 위협 동향 & 2026년 전망' 보고서에 따르면 올해(지난해 10월∼올해 9월) 북한 해킹 그룹의 APT 공격은 모두 86건으로 공개된 공격의 절반가량을 차지했다.
APT 공격은 국가적 차원에서 정교하고 장기적으로 이뤄지는 지능형 지속 위협을 의미한다.
이처럼 북한은 고도화된 기법으로 전 세계의 금융, 통신, 정보통신 산업 등을 표적으로 삼으며 새로운 글로벌 위협으로 부상하고 있다.
북한 정찰총국 산하 해킹그룹으로 알려진 라자루스(Lazarus), 김수키(Kimsuky), 안다리엘(Andariel). 이들은 어떤 수법으로 공격 대상에 침투하고 경제적 이익을 탈취할까.
◇ '가상자산 해킹' 라자루스, 보안 취약점 악용·악성코드 유포
먼저 바이비트, 비토프로 등 가상자산 거래소를 해킹한 것으로 알려진 라자루스는 맥 운영체제(OS)와 리눅스를 동시에 지원하는 멀티 플랫폼 악성코드를 사용한다.
해당 악성코드는 키 로깅(키보드 입력 내용을 기록), 클립보드 감시, 브라우저 캐시와 암호화폐 지갑 정보 탈취 기능을 포함한다.
공격 기법으로는 공급망 공격과 워터링 홀 기법이 주로 사용됐다. 공급망 공격은 해킹 그룹이 기업의 보안 취약점을 활용해 정상적인 소프트웨어(SW)나 업데이트로 악성코드를 유포하는 공격이고, 워터링 홀 기법은 웹사이트를 감염시켜 사용자 그룹을 표적으로 삼는 사이버 공격이다.
또 글로벌 보안 기업 카스퍼스키에 따르면 라자루스는 국내 IT, 금융, 반도체 기업 6곳을 대상으로 공급망 공격을 벌였다.
이때 사용된 공격 기법은 소프트웨어 취약점을 악용한 '오퍼레이션 싱크홀' 방식이다.
해당 공격 기법은 공격 대상자가 자주 방문하는 정상적인 웹사이트를 해킹해 악성 코드를 심어놓고 방문자가 해당 사이트를 접속할 때 감염되도록 유도하거나, 한국에서 널리 사용되는 SW의 취약점을 악용해 시스템에 침투하는 방식이다.
이들은 기술공학적 뿐만 아니라 사회공학적 공격 기법에도 능하다. AI 기반의 가짜 면접 등 고도의 심리 전술로 피해자를 유인하는 기법이 대표적이다.
◇ '위장 전술' 김수키·'자격증명 탈취' 안다리엘
북한 정찰총국 산하의 또 다른 해킹그룹 김수키의 주된 공격 방법은 위장과 이메일 피싱이다.
이들은 강연 의뢰서나 인터뷰 요청을 위장한 피싱으로 ISO, LNK, MSC 등 다양한 파일을 유포해 금융, 암호화폐 등 다양한 산업을 대상을 공격 대상으로 삼았다.
이메일 피싱의 경우 러시아 이메일 도메인인 'mail.ru'와 한글 무료 도메인인 '내도메인.한국'로 위장해 ISO 파일과 한글 문서로 공격을 지속했다.
이들은 페이스북, 텔레그램 등 다양한 채널을 활용해 다단계 공격을 감행하고 인공지능(AI) 기반 위조 신분증도 능수능란하게 사용하는 것으로 전해졌다.
김수키 그룹 산하에는 여러 하위 그룹이 존재하는데 이중 'Larva-24009'는 한국 사용자를 대상으로 정상 파일로 위장한 LNK(바로가기) 파일로 악성코드를 유포한 바 있다.
역시 북한 정찰총국 산하 해킹 조직인 안다리엘은 자격증명 탈취 기법과 랜섬웨어 배포로 공격을 지속 중이다.
특히 안다리엘은 한국에서 자산관리와 문서 중앙화 설루션을 대상으로 악성코드를 배포했고, 한국 보안 기업의 인증서를 탈취해 악성코드에 서명하는 공격 기법을 사용하기도 했다.
◇ 코니·TA-레드앤트…대북 전문가·탈북자 겨냥해
김수키 그룹과 연계된 것으로 알려진 코니는 주로 한국의 북한 인권 활동가, 비정부기구(NGO) 등을 대상으로 사이버 공격을 수행한다.
지니언스[263860] 시큐리티 센터에 따르면 이들은 국가인권위원회(인권위)를 사칭한 스피어피싱 메일을 배포하고 수신자가 해킹 사고나 인권침해 사건에 연루된 것처럼 유도했다. 스피어피싱은 특정 개인이나 조직을 표적으로 공격하는 수법이다.
수신자가 답변 메일을 보내면 코니가 회신 메일에 URL 주소처럼 보이게 만든 링크를 보내고, 수신자가 이를 클릭하면 악성 코드로 연결된다.
코니가 보내는 압축파일에는 위장된 바로가기 파일이 삽입돼있어 사용자가 이를 실행하면 다단계 로딩으로 악성코드가 유포되도록 했다.
TA-레드앤트(RedAnt)도 코니와 마찬가지로 대북 전문가, 탈북자 등 북한 관련 인물을 대상으로 해킹 메일, 모바일 앱을 유포하는 조직으로 알려져 왔다.
이들은 스피어[347700] 피싱, 악성 문서·설치파일 유포, 클라우드 링크와 같은 다양한 공격기법을 사용하는데 특히 JPEG 이미지에 악성코드를 숨기는 스테가노그래피 등 은폐 기술이 주요 특징으로 꼽힌다.
안랩에 따르면 TA-레드앤트는 AI 이미지와 음성 변조를 활용해 실존 인물을 사칭하고 학술행사와 뉴스레터로 위장하는 등 사회공학적 기법도 사용한다.
안랩은 TA-레드앤트가 일부 피해 조직에 랜섬웨어를 감염시켜 금전적 피해를 주기도 하는 등, 공격 기법을 진화하며 글로벌 위협으로 부상할 수 있다고 내다봤다.
built@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>
관련뉴스
