북한 해커들의 긴 잠복…2025년 사이버 공격, 무엇이 달랐나

북한 연계 해킹 조직의 공격이 정교해지면서 국내 금융권과 공공기관, 기업을 향한 위협이 커지는 추세다. 보안 전문기업 로그프레소가 최근 발행한 ‘2025 북한 연계 APT 공격 분석’ 보고서에 따르면, 지난해 북한 해커들의 공격 방식은 이전보다 치밀하고, 장기화된 것으로 나타났다.

크게보기

지난해 APT 공격이 더욱 지능화되고 장기화됐다 / 출처=AI 생성 이미지

‘지능형 지속 공격(Advanced Persistent Threat, 이하 APT)’은 특정 목표를 정해 성공할 때까지 장기간에 걸쳐 집요하게 파고드는 수법을 뜻한다. 불특정 다수를 낚는 일반적인 해킹과 구분 짓는 핵심 요소는 ‘표적의 명확성’과 ‘공격의 지속성’이다. APT는 기업이나 정부 기관을 대상으로 삼아 위협을 달성하기까지 수개월에서 수년 동안 정체를 숨긴 채 공격을 이어가는 특징이 있다.

최근에는 세계적으로 사이버 범죄가 증가하는 가운데, 국가 배후의 지원을 받는 해킹 조직들이 이러한 APT 공격의 주축이 되고 있다. 이들은 외화벌이를 위한 가상자산 탈취는 물론, 국방·외교 관련 기밀을 수집하기 위해 한국의 주요 기관과 기업들을 노리고 있다.

지난해 APT 공격 패턴 변화는?

크게보기

2025년 주요 북한 연계 공격 캠페인 타임라인 / 출처=로그프레소

보고서에 따르면, 2025년 북한 연계 해킹 조직은 정찰 기간을 늘려 은밀하게 움직인 뒤, 단계적으로 공격을 실행했다. 특히 과거와 달리 ‘정찰을 통한 최종 표적 선별’과 ‘실질적 타격’ 을 분리했다는 점이 특징이다. 이 과정에서 다단계 공격 구조와 운영체제(OS)별 맞춤형 침투 방식이 공통적으로 드러났다.

이들은 악성코드를 여러 겹으로 쌓아 침투시킨 뒤 즉시 실행하지 않는다. 대신 명령·제어(C2) 서버와 주기적으로 통신하며 표적의 환경에 맞춰 스크립트와 공격 루틴을 실시간으로 변경하며 보안 탐지를 회피했다. 충분히 정찰을 마친 후, 실질적인 공격 시 브라우저 인증 정보나 카드정보 등 목적에 맞는 고정 정보수집 모듈을 조합해 사용하는 식이다.

기술적으로는 운영체제를 가리지 않는 멀티 플랫폼 공격이 정착됐다. 윈도우(Windows) 사용자와 맥(macOS), 리눅스(Linux) 서버까지 겨냥한 악성코드가 발견됐다. 개발자들이 많이 사용하는 ‘npm’ 생태계에 악성 패키지를 유포하거나, IT 기업의 정상적인 소프트웨어 업데이트를 가장해 침투하는 등 공급망의 취약한 고리를 노리는 데 집중했다.

공격의 미끼 또한 치밀해졌다. 건강검진 안내, 성범죄자 고지서, 국세청 공지사항 등 일반 국민이라면 누구나 열어볼 만한 생활 밀착형 주제부터 세미나 안내문, 국방 자문 요청서 등 특정 전문가 집단을 겨냥한 전문적인 주제까지 활용됐다.

4대 북한 해킹 조직, 각자의 특기가 있다

크게보기

지난해 김수키 공격 방식 / 출처=로그프레소

이번 보고서에서는 국내를 타겟으로 삼아온 라자루스(Lazarus), 김수키(Kimsuky), APT37, 코니(Konni) 등 주요 4개 공격 그룹의 사례를 분석했다. 이들은 공통적으로 국익을 위해 움직이지만, 구체적인 공격 수법과 타겟에서는 그룹마다 차이를 보였다.

라자루스는 가장 규모가 크고 공격적인 그룹으로, 주로 금융권과 암호화폐 거래소를 노린 외화벌이에 주력했다. 2025년에는 ‘Node.js’ 기반의 표준화된 공격 코드를 사용해 윈도우와 맥 환경을 동시에 타격했다. 엔비디아(Nvidia) 드라이버 패치로 위장해 고성능 컴퓨팅 환경을 사용하는 기업과 개발자들을 노리는가 하면, 단계별 디코딩 절차를 두어 보안 장비의 눈을 피했다.

김수키는 정치, 외교, 국방 분야 정보를 수집하는 스파이 활동에 집중했다. 2025년에는 한국인터넷진흥원(KISA) 등을 사칭하거나 건강검진 결과 안내 등을 미끼로 한글(HWP) 문서나 LNK, JSE 파일을 유포했다. 특히 침투 후 발자국을 지우는 ‘자가 삭제’ 기능과 정상 도구(LOLBins)를 활용해 로그나 흔적을 최소화하는 데 특화돼 있다.

APT37은 인권 관련 인터뷰 요청이나 입사지원서로 위장해 내부자 권한을 획득하는 방식을 썼다. 암호화된 쉘코드를 메모리에서 직접 실행해 흔적을 남기지 않고 보안 장비의 탐지를 우회한다. 또한 코니(Konni)는 효율성을 극대화한 공격 템플릿을 반복 사용했다. 금융 기관을 사칭한 문서를 활용해 다단계 실행 체인을 구동하며, 반복 루프 시스템으로 공격의 지속성을 유지했다.

크게보기

북한 연계 APT 공격에 사용된 주요 C2 도메인 분포 / 출처=로그프레소

한편, 공격자들이 사용한 미끼 도메인 중 ‘o-r.kr’, ‘kro.kr’ 등 특정 도메인 서비스가 10% 이상의 비율을 차지했다. 특히 ‘navermails.com’, ‘navernnail.com’처럼 국내 유명 포털이나, 국세청(NTS), 국민연금공단(NPS), 네이버, 구글 같은 세계적인 서비스 도메인을 흉내 낸 ‘룩얼라이크 도메인(Lookalike Domains)’ 비중이 높아지고 있어 사용자들의 주의가 요구된다.

교묘해진 공격…보안 전략 패러다임 바꿔야

보안 전문가들은 2026년 국가 배후 APT 조직이 정찰 활동에 랜섬웨어를 결합한 혼합형 위협 모델을 확대할 것으로 전망했다. 단순 금전 탈취를 넘어 인프라 파괴와 사회 혼란을 노리는 전략형 공격에 APT 기법이 융합된다는 분석이다.

크게보기

지난해 12월 로그프레소 기자간담회에서 양봉열 로그프레소 대표 모습 / 출처=IT동아

로그프레소는 보고서를 통해 기존의 파일 단위 분석과 침해 지표(IoC) 기반 대응을 유지하되, 정상 시스템 도구를 악용한 의심스러운 행동 패턴을 잡아내는 ‘행위 기반 탐지’와 능동적인 ‘위협 헌팅’ 역량을 강화해야 한다고 주장했다. 한승훈 로그프레소 CISO는 “단순한 보안 솔루션 도입을 넘어, 공격 행위를 종합적으로 분석하고 선제적으로 대응할 수 있는 체계로 보안 전략을 재정립해야 할 시점”이라고 강조했다.

지능화되는 공격에 맞서 보안 운영 전략은 통합 관리 체계로 진화해야 한다. 대표적으로 ▲전체 시스템과 네트워크 로그를 실시간 분석해 이상 징후를 탐지하는 ‘SIEM’ ▲엔드포인트의 의심 행동을 모니터링하고, 위협 발생 시 즉각 기기를 격리하는 ‘EDR’ ▲이들을 하나로 묶어 사고 대응 프로세스를 자동화하는 ‘SOAR’가 핵심 축을 이룬다. SOAR는 보안 인텔리전스 수집과 재해 복구 절차를 유기적으로 연결해 대응 시간을 단축하고 보안 인력의 효율성을 극대화한다.

양봉열 로그프레소 대표는 “사이버 공격은 더 이상 IT 부서만의 문제가 아니라, 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크”라며, “금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 데이터 유출을 넘어 서비스 중단, 신뢰도 하락, 규제 리스크로까지 확산될 수 있는 만큼 선제적인 대응이 필요하다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)