북한 해커들의 긴 잠복...2025년 사이버 공격, 무엇이 달랐나

IT동아 · 2026.02.05 16:37:01

[IT동아 김예지 기자] 북한 연계 해킹 조직의 공격이 정교해지면서 국내 금융권과 공공기관, 기업을 향한 위협이 커지는 추세다. 보안 전문기업 로그프레소가 최근 발행한 ‘2025 북한 연계 APT 공격 분석’ 보고서에 따르면, 지난해 북한 해커들의 공격 방식은 이전보다 치밀하고, 장기화된 것으로 나타났다.

지난해 APT 공격이 더욱 지능화되고 장기화됐다 / 출처=AI 생성 이미지

‘지능형 지속 공격(Advanced Persistent Threat, 이하 APT)’은 특정 목표를 정해 성공할 때까지 장기간에 걸쳐 집요하게 파고드는 수법을 뜻한다. 불특정 다수를 낚는 일반적인 해킹과 구분 짓는 핵심 요소는 ‘표적의 명확성’과 ‘공격의 지속성’이다. APT는 기업이나 정부 기관을 대상으로 삼아 위협을 달성하기까지 수개월에서 수년 동안 정체를 숨긴 채 공격을 이어가는 특징이 있다.

최근에는 세계적으로 사이버 범죄가 증가하는 가운데, 국가 배후의 지원을 받는 해킹 조직들이 이러한 APT 공격의 주축이 되고 있다. 이들은 외화벌이를 위한 가상자산 탈취는 물론, 국방·외교 관련 기밀을 수집하기 위해 한국의 주요 기관과 기업들을 노리고 있다.

지난해 APT 공격 패턴 변화는?

2025년 주요 북한 연계 공격 캠페인 타임라인 / 출처=로그프레소

보고서에 따르면, 2025년 북한 연계 해킹 조직은 정찰 기간을 늘려 은밀하게 움직인 뒤, 단계적으로 공격을 실행했다. 특히 과거와 달리 ‘정찰을 통한 최종 표적 선별’과 ‘실질적 타격’ 을 분리했다는 점이 특징이다. 이 과정에서 다단계 공격 구조와 운영체제(OS)별 맞춤형 침투 방식이 공통적으로 드러났다.

이들은 악성코드를 여러 겹으로 쌓아 침투시킨 뒤 즉시 실행하지 않는다. 대신 명령·제어(C2) 서버와 주기적으로 통신하며 표적의 환경에 맞춰 스크립트와 공격 루틴을 실시간으로 변경하며 보안 탐지를 회피했다. 충분히 정찰을 마친 후, 실질적인 공격 시 브라우저 인증 정보나 카드정보 등 목적에 맞는 고정 정보수집 모듈을 조합해 사용하는 식이다.

기술적으로는 운영체제를 가리지 않는 멀티 플랫폼 공격이 정착됐다. 윈도우(Windows) 사용자와 맥(macOS), 리눅스(Linux) 서버까지 겨냥한 악성코드가 발견됐다. 개발자들이 많이 사용하는 ‘npm’ 생태계에 악성 패키지를 유포하거나, IT 기업의 정상적인 소프트웨어 업데이트를 가장해 침투하는 등 공급망의 취약한 고리를 노리는 데 집중했다.

공격의 미끼 또한 치밀해졌다. 건강검진 안내, 성범죄자 고지서, 국세청 공지사항 등 일반 국민이라면 누구나 열어볼 만한 생활 밀착형 주제부터 세미나 안내문, 국방 자문 요청서 등 특정 전문가 집단을 겨냥한 전문적인 주제까지 활용됐다.

4대 북한 해킹 조직, 각자의 특기가 있다

지난해 김수키 공격 방식 / 출처=로그프레소

이번 보고서에서는 국내를 타겟으로 삼아온 라자루스(Lazarus), 김수키(Kimsuky), APT37, 코니(Konni) 등 주요 4개 공격 그룹의 사례를 분석했다. 이들은 공통적으로 국익을 위해 움직이지만, 구체적인 공격 수법과 타겟에서는 그룹마다 차이를 보였다.

라자루스는 가장 규모가 크고 공격적인 그룹으로, 주로 금융권과 암호화폐 거래소를 노린 외화벌이에 주력했다. 2025년에는 ‘Node.js’ 기반의 표준화된 공격 코드를 사용해 윈도우와 맥 환경을 동시에 타격했다. 엔비디아(Nvidia) 드라이버 패치로 위장해 고성능 컴퓨팅 환경을 사용하는 기업과 개발자들을 노리는가 하면, 단계별 디코딩 절차를 두어 보안 장비의 눈을 피했다.

김수키는 정치, 외교, 국방 분야 정보를 수집하는 스파이 활동에 집중했다. 2025년에는 한국인터넷진흥원(KISA) 등을 사칭하거나 건강검진 결과 안내 등을 미끼로 한글(HWP) 문서나 LNK, JSE 파일을 유포했다. 특히 침투 후 발자국을 지우는 ‘자가 삭제’ 기능과 정상 도구(LOLBins)를 활용해 로그나 흔적을 최소화하는 데 특화돼 있다.

APT37은 인권 관련 인터뷰 요청이나 입사지원서로 위장해 내부자 권한을 획득하는 방식을 썼다. 암호화된 쉘코드를 메모리에서 직접 실행해 흔적을 남기지 않고 보안 장비의 탐지를 우회한다. 또한 코니(Konni)는 효율성을 극대화한 공격 템플릿을 반복 사용했다. 금융 기관을 사칭한 문서를 활용해 다단계 실행 체인을 구동하며, 반복 루프 시스템으로 공격의 지속성을 유지했다.

북한 연계 APT 공격에 사용된 주요 C2 도메인 분포 / 출처=로그프레소

한편, 공격자들이 사용한 미끼 도메인 중 ‘o-r.kr’, ‘kro.kr’ 등 특정 도메인 서비스가 10% 이상의 비율을 차지했다. 특히 ‘navermails.com’, ‘navernnail.com’처럼 국내 유명 포털이나, 국세청(NTS), 국민연금공단(NPS), 네이버, 구글 같은 세계적인 서비스 도메인을 흉내 낸 ‘룩얼라이크 도메인(Lookalike Domains)’ 비중이 높아지고 있어 사용자들의 주의가 요구된다.

교묘해진 공격…보안 전략 패러다임 바꿔야

보안 전문가들은 2026년 국가 배후 APT 조직이 정찰 활동에 랜섬웨어를 결합한 혼합형 위협 모델을 확대할 것으로 전망했다. 단순 금전 탈취를 넘어 인프라 파괴와 사회 혼란을 노리는 전략형 공격에 APT 기법이 융합된다는 분석이다.

지난해 12월 로그프레소 기자간담회에서 양봉열 로그프레소 대표 모습 / 출처=IT동아

로그프레소는 보고서를 통해 기존의 파일 단위 분석과 침해 지표(IoC) 기반 대응을 유지하되, 정상 시스템 도구를 악용한 의심스러운 행동 패턴을 잡아내는 ‘행위 기반 탐지’와 능동적인 ‘위협 헌팅’ 역량을 강화해야 한다고 주장했다. 한승훈 로그프레소 CISO는 “단순한 보안 솔루션 도입을 넘어, 공격 행위를 종합적으로 분석하고 선제적으로 대응할 수 있는 체계로 보안 전략을 재정립해야 할 시점”이라고 강조했다.

지능화되는 공격에 맞서 보안 운영 전략은 통합 관리 체계로 진화해야 한다. 대표적으로 ▲전체 시스템과 네트워크 로그를 실시간 분석해 이상 징후를 탐지하는 ‘SIEM’ ▲엔드포인트의 의심 행동을 모니터링하고, 위협 발생 시 즉각 기기를 격리하는 ‘EDR’ ▲이들을 하나로 묶어 사고 대응 프로세스를 자동화하는 ‘SOAR’가 핵심 축을 이룬다. SOAR는 보안 인텔리전스 수집과 재해 복구 절차를 유기적으로 연결해 대응 시간을 단축하고 보안 인력의 효율성을 극대화한다.

양봉열 로그프레소 대표는 “사이버 공격은 더 이상 IT 부서만의 문제가 아니라, 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크”라며, “금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 데이터 유출을 넘어 서비스 중단, 신뢰도 하락, 규제 리스크로까지 확산될 수 있는 만큼 선제적인 대응이 필요하다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	결혼 상대로 만나면 피곤할 것 같은 스타는?	운영자	26/02/02	-	-
6585	[리뷰] RTX 3050급 내장 그래픽 인상적, 인텔 코어 울트라 X7 358H	IT동아	02.05	34	0
	북한 해커들의 긴 잠복...2025년 사이버 공격, 무엇이 달랐나 [4]	IT동아	02.05	1108	6
6583	수호아이오, SDMS 2026 개최···스테이블코인 규제·솔루션 논의	IT동아	02.05	15	0
6582	[기고] 창업으로 문제 해결하며 사회 가치를 창출한다	IT동아	02.05	17	0
6581	[황성진의 '고대 사상가, AI를 만나다'] 한비자가 챗GPT를 쓴다면 절대 하지 않을 세 가지 [1]	IT동아	02.05	519	0
6580	콕스웨이브 “AI 서비스 신뢰성 높이는 분석 플랫폼, 얼라인” [경북대 X IT동아]	IT동아	02.05	21	0
6579	"이메일까지 가능" 털린 내 정보 찾기, 계정 유출 여부 무료로 확인하는 방법	IT동아	02.04	29	0
6578	[신차공개] ‘더 뉴 벤츠 S 클래스’ 공개·‘뉴 디펜더 부분변경’ 출시	IT동아	02.04	26	0
6577	[주간스타트업동향] 스텔라비전, 2025년 글로벌 성과 점검... 2026년 본격 도약 준비 外	IT동아	02.04	25	0
6576	월 1만 원대 요금제로 맞붙는 구글·오픈AI, 가성비 면에선 구글이 '압승'	IT동아	02.04	62	0
6575	[스타트업-ing] 메디플렉서스 “전통과 결합한 데이터 CRO, 임상 전주기 체계 선도”	IT동아	02.04	27	0
6574	오라클 “데이터베이스 기업에서 AIㆍ데이터 잘 다루는 기업으로”	IT동아	02.03	27	0
6573	“데이터팩토리 구축ㆍ인재양성에 속도” 한국피지컬AI협회의 2026년 전략은?	IT동아	02.03	26	0
6572	특허 AI에 국산 AI 반도체 얹었다··· 워트인텔리전스-리벨리온 협업 나서	IT동아	02.03	32	0
6571	알파고와 챗GPT 다음의 ‘특이점’, AGI란 무엇? [4]	IT동아	02.03	540	2
6570	[위클리AI] 구글, 1만 원대 'AI 플러스' 출시에 한국 포함···오픈AI와 정면 승부 [7]	IT동아	02.03	2183	1
6569	하이퍼엑셀, 대만 어드밴텍과 양해각서 체결··· 'LPU 확산에 시동'	IT동아	02.03	31	0
6568	노타·퓨리오사AI, AI 최적화 기술 협력으로 공동 사업화 나선다	IT동아	02.03	27	0
6567	업비트·빗썸, 2025년 이용자·서비스 현황 공개···디지털자산 투자 대중화	IT동아	02.03	35	0
6566	[뉴스줌인] "우리만의 AI 필수"... 세계 각국이 '소버린 AI'에 꽂힌 이유	IT동아	02.02	46	0
6565	[투자를IT다] 2026년 1월 5주차 IT기업 주요 소식과 시장 전망	IT동아	02.02	34	0
6564	[리뷰] 저전력·고성능의 극적인 조합, 인텔 코어 울트라 X9 388H	IT동아	02.02	42	0
6563	서울과기대 창업지원단 "글로벌오픈이노베이션 IR 데모데이, 딥테크 스타트업 해외 진출 청신호"	IT동아	02.02	32	0
6562	서울과기대 창업지원단, 딥테크 브릿지 주관···창업기업 만족도 상승	IT동아	02.02	28	0
6561	이통3사, AI 기본법 시행 맞춰 거버넌스 강화	IT동아	02.02	29	0
6560	[정석희의 기후 에너지 인사이트] 3. AI 시대의 에너지 해법 [3]	IT동아	02.02	580	3
6559	[리뷰] "빠른 입력 반응에 유무선 편의성까지 품다" 체리 엑스트리파이 MX 8.2 프로 TMR TKL 와이어리스	IT동아	01.30	69	0
6558	다리소프트 "자율주행시대에 걸맞은 AI 기반 도로관리 솔루션"[경북대 X IT동아]	IT동아	01.30	39	0
6557	초기투자액셀러레이터협회, '2026 투자자 서밋 부산' 개최... '투자자 넘어 설계자로'	IT동아	01.30	39	0
6556	“듣는 음악 넘어 함께 소통하는 음악으로”...버시스가 그리는 AI 뮤직테크의 미래 [경북대 X IT동아]	IT동아	01.30	34	0
6555	[크립토퀵서치] '1거래소 1은행' 체계는 무엇인가요?	IT동아	01.30	35	0
6554	벼랑 끝 소상공인 100만 시대, 우리은행 ‘AIgency’팀이 보낸 따뜻한 '시그널' 이야기	IT동아	01.30	45	0
6553	[리뷰] 한 끗 성능까지 끌어올린 게이밍 프로세서, AMD 라이젠 7 9850X3D	IT동아	01.30	64	0
6552	SBA "마곡입주기업협의회와 함께 문화산업단지 구축"	IT동아	01.30	31	0
6551	초격차 개방형 혁신 수요기업 협의회 "대기업·스타트업 동반 성장 고도화"	IT동아	01.30	86	0
6550	AI 협업툴로 성장성 증명한 플로우, AI 융합과 글로벌 확장에 속도낼 것	IT동아	01.30	101	0
6549	기대와 우려 공존한 “AI 기본법 시행에 따른 산업 생태계 육성전략 세미나” [7]	IT동아	01.30	836	0
6548	[리뷰] 내실 극대화한 ‘로닌’ 시리즈의 최신작, DJI RS 5	IT동아	01.29	39	0
6547	[크립토퀵서치] 구글플레이는 왜 미신고 거래소 앱을 차단하나요? [3]	IT동아	01.29	899	1
6546	[AI 써봄] 쾌적한 학습을 도와주는 AI 도구, 세타웨이브	IT동아	01.28	38	0
6545	“디지털 검색광고 운영 혁신 주도” 3년 연속 고성장한 보라웨어의 비결은?	IT동아	01.28	43	0
6544	[주간스타트업동향] 아크릴, 통합 AI 플랫폼 '조나단'과 로봇 시스템 연동 성공 外	IT동아	01.28	35	0
6543	우주로 확장되는 전쟁터, 스타링크 위성통신 역할은	IT동아	01.28	32	0
6542	[K-스페이스 퀀텀 점프] 2. 낡은 항공기 대체할 항공업계 투자유인이 필요하다	IT동아	01.28	76	0
6541	[스타트업 브랜딩 가이드] 브랜딩은 ‘멋’이 아니라 선택과 신뢰를 만드는 구조다	IT동아	01.28	83	0
6540	퓨리오사AI, NPU 'RNGD' 양산 돌입··· '한국 넘어 세계시장 향한다' [3]	IT동아	01.28	991	5
6539	“사람을 연결하는 미래 교육, AI와 에듀테크를 만나다”...제5회 링크(LINK)에서 엿본 미래 교육 현장	IT동아	01.28	47	0
6538	LLM 넘어 기술 패권 기업으로 성장한 '딥시크', 쇼크 이후 1년 톺아보니	IT동아	01.27	57	0
6537	[위클리AI] 마이크로소프트, 마이아200으로 경쟁력 강화···아마존도 의료용 서비스 대열 합류	IT동아	01.27	80	0
6536	[IT신상공개] 소니의 첫 클립형 이어폰 ‘링크버즈 클립’ [10]	IT동아	01.27	1267	4

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

지난해 APT 공격 패턴 변화는?

4대 북한 해킹 조직, 각자의 특기가 있다

교묘해진 공격…보안 전략 패러다임 바꿔야

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘