국내 최대 가상자산거래소 업비트 해킹 사건의 배후로 북한 정찰총국 산하 해킹그룹 ‘라자루스’가 지목되는 가운데 북한 해킹그룹이 지난 1년간 100건에 육박하는 해킹 공격을 감행한 것으로 나타났다.
30일 안랩의 ‘2025년 사이버 위협 동향 및 2026년 전망’에 따르면 지난해 10월부터 올 9월까지 보고된 북한 해킹그룹의 지능형 지속 공격(APT·특정 국가, 기관을 장기간에 걸쳐 해킹하는 행위)은 모두 86건으로 나타났다. 이는 공개된 전체 APT의 절반에 가까운 횟수로 중국(27건)과 러시아(18건) 등 다른 국가보다 현저히 많은 것으로 집계됐다. 북한 해킹그룹 중에는 라자루스(31건)가 가장 많은 APT 시도를 한 것으로 파악됐고, 북한 정찰총국 산하 또 다른 해킹 조직인 김수키(27건)가 그 뒤를 이었다.
보고서에 따르면 라자루스는 지난해부터 암호화폐와 금융, 정보기술(IT), 국방 등 분야로 공격 대상을 넓혀 왔다. 또 맥 운영체제(OS)와 리눅스를 동시에 노리는 멀티 플랫폼 악성코드를 다수 개발했다. 이들이 만든 악성코드에는 키보드 입력 내용을 기록하는 ‘키 로깅’과 클립보드 감시, 암호화폐 지갑 정보 탈취 기능 등이 담긴 것으로 파악됐다. 이들은 정상적인 소프트웨어나 업데이트에 악성코드를 끼워 넣는 ‘공급망 공격’, 웹사이트를 감염시켜 방문자의 컴퓨터에 악성코드를 심는 ‘워터링 홀’ 등의 기법을 주로 사용한 것으로 나타났다.
김수키는 주로 위장 이메일을 활용한 ‘스피어 피싱’(특정인을 목표로 개인정보를 훔치는 피싱)을 통해 해킹 파일을 유포했다. 페이스북과 텔레그램 등 복수의 채널을 활용한 다단계 공격과 인공지능(AI)으로 위조한 신분증 사용도 서슴지 않았다고 한다. 북한 정찰총국 산하 또 다른 해킹그룹으로 알려진 안다리엘은 한국 보안 기업의 인증서를 탈취해 악성코드에 서명하는 방식을 활용했다.
보고서는 “2025년 한국은 아시아에서 집중적인 사이버 공격을 받은 국가 중 하나였다”며 “한국에 공격이 집중되는 이유는 높은 IT 의존도, 글로벌 평균 대비 낮은 정보 보호 투자 비율 등이 있다”고 분석했다.
