[제로데이 전선②] 라자루스·김수키·APT38…北 해킹 조직 표적은
  • 정소영 기자
  • 입력: 2025.12.04 10:00 / 수정: 2025.12.04 10:00
北 정찰총국, 해킹 조직 운영…최대 규모는 라자루스
해킹 조직 간 협업·전술 공유까지…"北의 군사 작전"
지난달 27일 국내 1위 암호화폐 거래소 업비트에서 400억 원대 암호화폐를 탈취하는 사건이 발생했는데 사건 배후로 북한 해킹 조직 라자루스가 지목됐다. 사진은 지난 10월 평양 김일성 경기장에서 김정은 북한 국무위원장에게 충성 편지를 바치는 충성의 편지 증정 모임이 열려 한 남성이 편지를 전달하는 모습이다. /뉴시스
지난달 27일 국내 1위 암호화폐 거래소 업비트에서 400억 원대 암호화폐를 탈취하는 사건이 발생했는데 사건 배후로 북한 해킹 조직 라자루스가 지목됐다. 사진은 지난 10월 평양 김일성 경기장에서 김정은 북한 국무위원장에게 충성 편지를 바치는 '충성의 편지 증정 모임'이 열려 한 남성이 편지를 전달하는 모습이다. /뉴시스

디지털 전장에서 국경은 안전망이 되지 못한다. 오늘날 북한의 사이버 공격은 디지털 금융 시스템 등 전방위적으로 확장되고 있다. 디지털 의존도가 높은 한국에게 그 위협은 현실적이다. <더팩트>는 사이버 안보가 국가 생존과 직결된 시대, 북한의 사이버 공격이 어디까지 진화했는지, 한국의 현재 대응 수준과 나아가야 할 방향을 함께 들여다봤다. <편집자 주>

[더팩트ㅣ정소영 기자] 지난달 27일 국내 1위 암호화폐 거래소 업비트에서 400억 원대 암호화폐를 탈취하는 사건이 발생했다. 이후 일각에선 사건의 배후로 북한 정찰총국 산하 해킹 조직 '라자루스'(Lazarus)로 지목됐다. 북한의 각 해킹 조직이 정교한 침투 수법으로 고도화하는 상황에서 특정 기관·기업을 장기간 추적해 온전히 장악하는 '지능형 지속 공격'(APT)에 대비한 대응이 필요하다는 목소리가 나온다.

안랩이 발표한 '2025년 사이버 위협 동향 및 2026년 전망 보고서'에 따르면 지난해 10월부터 올해 9월까지 확인된 북한 해킹 조직의 APT 공격은 총 86건으로 집계됐다. 이 중 라자루스가 31건으로 가장 많은 공격을 시도했으며, '김수키'(Kimsuky)가 27건으로 뒤를 이었다.

북한의 해킹 조직은 모두 정찰총국을 중심으로 운영되는 것으로 알려졌다. 정찰총국은 2009년 김정일 북한 국방위원장이 대남공작부서를 전면 개편하며 신설한 조직이다. 정찰총국에서 가장 규모가 크고 활동 범위가 넓은 해킹 조직은 라자루스다. 라자루스는 전 세계 금융기관과 공공기관을 공격하며 암호화폐·금융 자산 등을 노린다.

라자루스와 유사한 형태의 해킹 조직으로는 'APT38'이 대표적이다. APT38은 보안 수준이 높은 공공·금융기관을 집중적으로 공격해 고액의 범죄수익을 확보하는 데 주력한다.

반면 김수키와 'APT37'은 성격이 다르다. 두 조직은 각국 공공기관, 군·방산업체뿐 아니라 학계·싱크탱크(정부·기업 등에서 사회·경제·정치 등 다양한 분야의 정책을 연구하고 대안을 제시하는 전문 연구기관) 등을 표적으로 삼아 사이버 첩보 수집 활동을 수행한다. 공격 목적이 금융 범죄보다 정보 수집에 더 초점이 맞춰졌다.

라자루스, APT38, 김수키 외에도 '안다리엘'(Andariel), '블루노르프'(Bluenoroff) 등이 북한 해킹 조직으로 거론된다. 안다리엘은 정부와 계약된 민간기업이나 방위산업을, 블루노르프는 금융기관을 주요 공격 대상으로 삼는다.

지난달 27일 국내 1위 암호화폐 거래소 업비트에서 400억 원대 암호화폐를 탈취하는 사건이 발생했다. 사진은 지난 4월 김영운 경찰청 국가수사본부 사이버테러수사 대장이 경찰청 국가수사본부에서 북한의 방첩사 계엄 문건 사칭 전자우편 발송 사건 수사 결과를 발표하는 모습이다. /뉴시스
지난달 27일 국내 1위 암호화폐 거래소 업비트에서 400억 원대 암호화폐를 탈취하는 사건이 발생했다. 사진은 지난 4월 김영운 경찰청 국가수사본부 사이버테러수사 대장이 경찰청 국가수사본부에서 '북한의 방첩사 계엄 문건 사칭 전자우편 발송 사건' 수사 결과를 발표하는 모습이다. /뉴시스

다만 전문가들은 이들 다수가 별도 조직이라기보다 라자루스나 APT38 등의 하위 그룹으로 이해하는 것이 정확하다고 설명한다. 2021년 9월 고명현 아산정책연구원 선임연구위원이 'KDI 북한경제리뷰'에 기고한 보고서에 따르면 라자루스의 다른 명칭으로 '히든 코브라'(Hidden Cobra), '안다리엘' 등이 사용되고 APT38은 '블루노로프', '비글보이즈'(BeagleBoyz) 등으로 불린다. 김수키는 '벨벳천리마'(Velvet Chollima), '탈륨'(Thallium) 등의 별도 명칭을 가지고 있다.

이같은 명칭들은 북한이 사용하는 공식 조직명이 아니다. 각국 사이버보안 연구자나 기업에서 붙인 이름이다. 조직별 명칭과 특성은 일부 차이가 있지만 정찰총국 지휘 아래 움직인다는 점에서 북한 해킹 조직을 단순한 범죄 조직이 아닌 국가를 위협하는 북한 전략 조직으로 바라보고 대응해야 한다는 설명이다.

특히 해킹 조직 간 협업과 전술 공유가 이뤄지고 있다는 점은 국가 차원의 조직적 운용을 보여주는 대목이다. 송태은 국립외교원 국제안보통일연구부 조교수는 "북한 해킹 조직들 간 서로 협업해 전술 공유가 이뤄지기도 한다"며 "라자루스나 김수키는 북한의 정찰총국에서 운영하는 조직이자 사이버 군사 조직이다. 북한 측에선 군사 작전을 펼치는 것"이라고 말했다.

이런 상황에서 북한 해킹 조직이 공급망 공격에 나서는 것에 대해 우려가 크다. 안랩 보고서는 "라자루스가 지난해부터 암호화폐와 금융, 정보기술(IT), 국방 등 분야로 공격 대상을 넓혀 왔다"면서 "정상적인 소프트웨어나 업데이트에 악성코드를 끼워 넣는 ‘공급망 공격’이다. 웹사이트를 감염시켜 방문자의 컴퓨터에 악성코드를 심는 ‘워터링 홀’ 등의 기법을 주로 사용했다"고 전했다.

송 조교수는 "공급망 공격은 추적하기가 어렵고 침투 범위가 확산되기 때문에 매우 위험한 공격"이라며 "안일하게 바라봐선 안 된다"고 경고했다.

upjsy@tf.co.kr

발로 뛰는 <더팩트>는 24시간 여러분의 제보를 기다립니다.
· 카카오톡: '더팩트제보' 검색
· 이메일: jebo@tf.co.kr
· 뉴스 홈페이지: https://talk.tf.co.kr/bbs/report/write
· 네이버 메인 더팩트 구독하고 [특종보자→]
· 그곳이 알고싶냐? [영상보기→]
Tag #북한#김정은#통일부#라자루스#김수키#해킹#업비트#정찰총국#APT38#블루노로프
AD