북한 해커들의 긴 잠복...2025년 사이버 공격, 무엇이 달랐나

IT동아 · 2026.02.05 16:37:01

[IT동아 김예지 기자] 북한 연계 해킹 조직의 공격이 정교해지면서 국내 금융권과 공공기관, 기업을 향한 위협이 커지는 추세다. 보안 전문기업 로그프레소가 최근 발행한 ‘2025 북한 연계 APT 공격 분석’ 보고서에 따르면, 지난해 북한 해커들의 공격 방식은 이전보다 치밀하고, 장기화된 것으로 나타났다.

지난해 APT 공격이 더욱 지능화되고 장기화됐다 / 출처=AI 생성 이미지

‘지능형 지속 공격(Advanced Persistent Threat, 이하 APT)’은 특정 목표를 정해 성공할 때까지 장기간에 걸쳐 집요하게 파고드는 수법을 뜻한다. 불특정 다수를 낚는 일반적인 해킹과 구분 짓는 핵심 요소는 ‘표적의 명확성’과 ‘공격의 지속성’이다. APT는 기업이나 정부 기관을 대상으로 삼아 위협을 달성하기까지 수개월에서 수년 동안 정체를 숨긴 채 공격을 이어가는 특징이 있다.

최근에는 세계적으로 사이버 범죄가 증가하는 가운데, 국가 배후의 지원을 받는 해킹 조직들이 이러한 APT 공격의 주축이 되고 있다. 이들은 외화벌이를 위한 가상자산 탈취는 물론, 국방·외교 관련 기밀을 수집하기 위해 한국의 주요 기관과 기업들을 노리고 있다.

지난해 APT 공격 패턴 변화는?

2025년 주요 북한 연계 공격 캠페인 타임라인 / 출처=로그프레소

보고서에 따르면, 2025년 북한 연계 해킹 조직은 정찰 기간을 늘려 은밀하게 움직인 뒤, 단계적으로 공격을 실행했다. 특히 과거와 달리 ‘정찰을 통한 최종 표적 선별’과 ‘실질적 타격’ 을 분리했다는 점이 특징이다. 이 과정에서 다단계 공격 구조와 운영체제(OS)별 맞춤형 침투 방식이 공통적으로 드러났다.

이들은 악성코드를 여러 겹으로 쌓아 침투시킨 뒤 즉시 실행하지 않는다. 대신 명령·제어(C2) 서버와 주기적으로 통신하며 표적의 환경에 맞춰 스크립트와 공격 루틴을 실시간으로 변경하며 보안 탐지를 회피했다. 충분히 정찰을 마친 후, 실질적인 공격 시 브라우저 인증 정보나 카드정보 등 목적에 맞는 고정 정보수집 모듈을 조합해 사용하는 식이다.

기술적으로는 운영체제를 가리지 않는 멀티 플랫폼 공격이 정착됐다. 윈도우(Windows) 사용자와 맥(macOS), 리눅스(Linux) 서버까지 겨냥한 악성코드가 발견됐다. 개발자들이 많이 사용하는 ‘npm’ 생태계에 악성 패키지를 유포하거나, IT 기업의 정상적인 소프트웨어 업데이트를 가장해 침투하는 등 공급망의 취약한 고리를 노리는 데 집중했다.

공격의 미끼 또한 치밀해졌다. 건강검진 안내, 성범죄자 고지서, 국세청 공지사항 등 일반 국민이라면 누구나 열어볼 만한 생활 밀착형 주제부터 세미나 안내문, 국방 자문 요청서 등 특정 전문가 집단을 겨냥한 전문적인 주제까지 활용됐다.

4대 북한 해킹 조직, 각자의 특기가 있다

지난해 김수키 공격 방식 / 출처=로그프레소

이번 보고서에서는 국내를 타겟으로 삼아온 라자루스(Lazarus), 김수키(Kimsuky), APT37, 코니(Konni) 등 주요 4개 공격 그룹의 사례를 분석했다. 이들은 공통적으로 국익을 위해 움직이지만, 구체적인 공격 수법과 타겟에서는 그룹마다 차이를 보였다.

라자루스는 가장 규모가 크고 공격적인 그룹으로, 주로 금융권과 암호화폐 거래소를 노린 외화벌이에 주력했다. 2025년에는 ‘Node.js’ 기반의 표준화된 공격 코드를 사용해 윈도우와 맥 환경을 동시에 타격했다. 엔비디아(Nvidia) 드라이버 패치로 위장해 고성능 컴퓨팅 환경을 사용하는 기업과 개발자들을 노리는가 하면, 단계별 디코딩 절차를 두어 보안 장비의 눈을 피했다.

김수키는 정치, 외교, 국방 분야 정보를 수집하는 스파이 활동에 집중했다. 2025년에는 한국인터넷진흥원(KISA) 등을 사칭하거나 건강검진 결과 안내 등을 미끼로 한글(HWP) 문서나 LNK, JSE 파일을 유포했다. 특히 침투 후 발자국을 지우는 ‘자가 삭제’ 기능과 정상 도구(LOLBins)를 활용해 로그나 흔적을 최소화하는 데 특화돼 있다.

APT37은 인권 관련 인터뷰 요청이나 입사지원서로 위장해 내부자 권한을 획득하는 방식을 썼다. 암호화된 쉘코드를 메모리에서 직접 실행해 흔적을 남기지 않고 보안 장비의 탐지를 우회한다. 또한 코니(Konni)는 효율성을 극대화한 공격 템플릿을 반복 사용했다. 금융 기관을 사칭한 문서를 활용해 다단계 실행 체인을 구동하며, 반복 루프 시스템으로 공격의 지속성을 유지했다.

북한 연계 APT 공격에 사용된 주요 C2 도메인 분포 / 출처=로그프레소

한편, 공격자들이 사용한 미끼 도메인 중 ‘o-r.kr’, ‘kro.kr’ 등 특정 도메인 서비스가 10% 이상의 비율을 차지했다. 특히 ‘navermails.com’, ‘navernnail.com’처럼 국내 유명 포털이나, 국세청(NTS), 국민연금공단(NPS), 네이버, 구글 같은 세계적인 서비스 도메인을 흉내 낸 ‘룩얼라이크 도메인(Lookalike Domains)’ 비중이 높아지고 있어 사용자들의 주의가 요구된다.

교묘해진 공격…보안 전략 패러다임 바꿔야

보안 전문가들은 2026년 국가 배후 APT 조직이 정찰 활동에 랜섬웨어를 결합한 혼합형 위협 모델을 확대할 것으로 전망했다. 단순 금전 탈취를 넘어 인프라 파괴와 사회 혼란을 노리는 전략형 공격에 APT 기법이 융합된다는 분석이다.

지난해 12월 로그프레소 기자간담회에서 양봉열 로그프레소 대표 모습 / 출처=IT동아

로그프레소는 보고서를 통해 기존의 파일 단위 분석과 침해 지표(IoC) 기반 대응을 유지하되, 정상 시스템 도구를 악용한 의심스러운 행동 패턴을 잡아내는 ‘행위 기반 탐지’와 능동적인 ‘위협 헌팅’ 역량을 강화해야 한다고 주장했다. 한승훈 로그프레소 CISO는 “단순한 보안 솔루션 도입을 넘어, 공격 행위를 종합적으로 분석하고 선제적으로 대응할 수 있는 체계로 보안 전략을 재정립해야 할 시점”이라고 강조했다.

지능화되는 공격에 맞서 보안 운영 전략은 통합 관리 체계로 진화해야 한다. 대표적으로 ▲전체 시스템과 네트워크 로그를 실시간 분석해 이상 징후를 탐지하는 ‘SIEM’ ▲엔드포인트의 의심 행동을 모니터링하고, 위협 발생 시 즉각 기기를 격리하는 ‘EDR’ ▲이들을 하나로 묶어 사고 대응 프로세스를 자동화하는 ‘SOAR’가 핵심 축을 이룬다. SOAR는 보안 인텔리전스 수집과 재해 복구 절차를 유기적으로 연결해 대응 시간을 단축하고 보안 인력의 효율성을 극대화한다.

양봉열 로그프레소 대표는 “사이버 공격은 더 이상 IT 부서만의 문제가 아니라, 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크”라며, “금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 데이터 유출을 넘어 서비스 중단, 신뢰도 하락, 규제 리스크로까지 확산될 수 있는 만큼 선제적인 대응이 필요하다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	내 며느리, 사위로 만나면 부담스러울 것 같은 스타는?	운영자	26/03/09	-	-
6749	[주간보안동향] 이란 전쟁이 야기한 사이버 위협, 기업 대응 방안은 外	IT동아	12:13	6	0
6748	“벤처ㆍ혁신기업에 투자” 기업성장펀드(BDC)는 다른 펀드와 무엇이 다를까?	IT동아	02:24	15	0
6747	[주간스타트업동향] 반프, 실리콘랩스와 지능형 타이어 모니터링 솔루션 발표 外	IT동아	03.11	30	0
6746	'모바일 확대 개편' 우리동네 기후환경정보, 기존 날씨 앱과 무엇이 다를까	IT동아	03.11	18	0
6745	디지털자산 거래소, 법인 고객 서비스 강화 ‘법인 시장 참여 대비’	IT동아	03.11	465	0
6744	SBA, 12개 대기업과 혁신 스타트업 발굴…‘2026 서울 오픈이노베이션 파트너스 데이’ 개최	IT동아	03.11	22	0
6743	[현장] 에이수스 “2026 젠북 시리즈, 촉감부터 A/S까지 차별화”	IT동아	03.10	24	0
6742	지노 발리스트레리 HP UAV 총괄 "한국 드론 시장, 신속·신뢰·혁신성 돋보여"	IT동아	03.10	28	0
6741	“지역에 머무는 여행, 어떻게 만들까”…에어비앤비가 제주서 내놓은 청사진	IT동아	03.10	25	0
6740	[위클리AI] 오픈AI, GPT-5.4 출시 '워크플로우 특화 모델' 외	IT동아	03.10	329	0
6739	[K-스페이스 퀀텀 점프] 5/완. 항공안전을 위한 기업문화가 만들어지는 법	IT동아	03.10	23	0
6738	'세대교체·신규 라인업 등장'··· 팀 쿡 시대 저물고 새로운 애플이 온다	IT동아	03.10	58	0
6737	[스타트업 브랜딩 가이드] 로고 제작은 디자인이 아니라 신뢰 설계다	IT동아	03.10	61	0
6736	SBA "2025 서울콘 1757억 경제효과, K 컬처 비즈니스 플랫폼으로"	IT동아	03.10	28	0
6735	[IT신상공개] 누음 줄인 오픈형 이어폰 JBL 센스 프로·사운드기어 클립스	IT동아	03.10	69	0
6734	[자동차와 法] 교통안전 및 과실비율 산정에 AI 활용하는 주요국 사례	IT동아	03.10	332	1
6733	프로덕트테크 “플라스틱 폭탄 된 부직포 필터…친환경 금속 필터로 순환 경제 실현”	IT동아	03.10	29	0
6732	[투자를IT다] 2026년 3월 1주차 IT기업 주요 소식과 시장 전망	IT동아	03.09	30	0
6731	갤 S26 나왔는데…'콘서트 필수폰'은 아직도 S23 울트라?	IT동아	03.09	91	0
6730	10년 전 알파고와 겨뤘던 이세돌, 인공지능과 손잡은 이유	IT동아	03.09	90	0
6729	웬디미디어, 국내 최초 멀티 에이전트 AI 라이브 방송으로 갤럭시26 사전판매 73억 기록	IT동아	03.09	87	0
6728	에어비앤비 “올해 목표는 지역 여행 활성화”…제주서 꺼낸 해법은 ‘공간·콘텐츠·사람’	IT동아	03.09	26	0
6727	에이블캠퍼스 최혜린 총괄 "AI 도입, 개발 엔지니어의 고차원 교육이 내재화에 큰 역할"	IT동아	03.09	32	0
6726	[주간투자동향] 사운드리퍼블리카, 시리즈A 브릿지 후속 투자 유치 外	IT동아	03.09	47	0
6725	디지털 전략에 진심인 IBK 기업은행, '두레이(Dooray!)'로 협업문화 가속	IT동아	03.09	33	0
6724	기술은 현실을 반영해야 한다: 다양한 경험이 만드는 기술 혁신 [세계 여성의 날] [5]	IT동아	03.08	454	0
6723	[리뷰] 4K 240Hz에 QD-OLED? 타협 없는 게이밍 모니터, ‘레노버 리전 프로 32UD-10’	IT동아	03.06	56	0
6722	[AI 써봄] “누구라도 몇 초 만에 아티스트가 된다” 구글 나노 바나나 2	IT동아	03.06	42	0
6721	"자동차, 이제 홈쇼핑으로 사세요", 권용국 차봇모빌리티 부문장	IT동아	03.06	43	0
6720	[스타트업-ing] "스마트폰 하나로 전문 코칭까지" 키넥스, 스포츠 훈련 더 가깝게 돕는다	IT동아	03.06	40	0
6719	"무료로 3분 만에 분석" 반려식물 추천 서비스, 직접 써보니	IT동아	03.06	39	0
6718	AI의 무기화 시작한 美 정부, 'LLM'은 어떻게 알고리즘 전쟁의 종심이 됐나 [11]	IT동아	03.06	1223	3
6717	넥스트챌린지, "2026 구글플레이 협업 '창구 프로그램' 참여 기업을 찾습니다"	IT동아	03.06	29	0
6716	[리뷰] 실용성 더한 오픈형 이어폰, 소니 링크버즈 클립	IT동아	03.06	302	0
6715	[황성진의 '고대 사상가, AI를 만나다'] 아리스토텔레스가 보면, 요즘 AI 활용은 전부 '반쪽짜리'	IT동아	03.06	32	0
6714	[IT신상공개] “최대 3cm 카펫 청소”…직배수 AS 강화한 로보락 ‘S10 MaxV Ultra’	IT동아	03.05	34	0
6713	[스타트업-ing] 모빌리티랩 "군집자율비행 드론으로 농업·재난·국방 현장 무인화"	IT동아	03.05	31	0
6712	“프리미엄 내려놓고 99만 원” 애플, 중저가 노트북 맥북 네오 공개 [20]	IT동아	03.05	1709	1
6711	파네시아, SKT AI DC·오픈칩 등 국내외 전략적 협업 통해 글로벌 시장에 '발돋움'	IT동아	03.05	82	0
6710	키보드ㆍ마우스ㆍ헤드폰 속 2.4GHz 무선ㆍ블루투스 기술의 차이점은?	IT동아	03.04	42	0
6709	[주간보안동향] 보안의 양날의 검 에이전틱 AI…보안 구멍 된 오픈클로 外	IT동아	03.04	46	0
6708	“전세버스 예약 전 이것부터 확인하세요”…운수회사 안전정보 조회 방법	IT동아	03.04	36	0
6707	[주간스타트업동향] 마키나락스, 코스닥 상장 예비심사 통과 外	IT동아	03.04	71	0
6706	앤커코리아, 한국 시장 본격 공략···배터리·녹음기·로봇청소기 공개	IT동아	03.04	45	0
6705	디노티시아, 추론 특화 ‘AI 스토리지’로 전 세계 AI 효율화에 도전장	IT동아	03.04	49	0
6704	K-테크 뷰티의 정수, DDP 체험형 전시 공간 ‘비더비(B the B)’에 가다	IT동아	03.04	49	0
6703	[위클리AI] 퍼플렉시티 컴퓨터 나왔다···앤스로픽, 버셉트 인수 외	IT동아	03.03	74	0
6702	[투자를IT다] 2026년 2월 4주차 IT기업 주요 소식과 시장 전망	IT동아	03.03	41	0
6701	[뉴스줌인] 사양 올리고 가격은 그대로… '가성비' 정조준한 아이폰 17e	IT동아	03.03	90	0
6700	[신차공개] 캐딜락 2026 더 뉴 에스컬레이드·벤츠 EQE 350+ SUV 출시	IT동아	03.03	45	0

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

지난해 APT 공격 패턴 변화는?

4대 북한 해킹 조직, 각자의 특기가 있다

교묘해진 공격…보안 전략 패러다임 바꿔야

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘