북한 해커들의 긴 잠복...2025년 사이버 공격, 무엇이 달랐나

IT동아 · 2026.02.05 16:37:01

[IT동아 김예지 기자] 북한 연계 해킹 조직의 공격이 정교해지면서 국내 금융권과 공공기관, 기업을 향한 위협이 커지는 추세다. 보안 전문기업 로그프레소가 최근 발행한 ‘2025 북한 연계 APT 공격 분석’ 보고서에 따르면, 지난해 북한 해커들의 공격 방식은 이전보다 치밀하고, 장기화된 것으로 나타났다.

지난해 APT 공격이 더욱 지능화되고 장기화됐다 / 출처=AI 생성 이미지

‘지능형 지속 공격(Advanced Persistent Threat, 이하 APT)’은 특정 목표를 정해 성공할 때까지 장기간에 걸쳐 집요하게 파고드는 수법을 뜻한다. 불특정 다수를 낚는 일반적인 해킹과 구분 짓는 핵심 요소는 ‘표적의 명확성’과 ‘공격의 지속성’이다. APT는 기업이나 정부 기관을 대상으로 삼아 위협을 달성하기까지 수개월에서 수년 동안 정체를 숨긴 채 공격을 이어가는 특징이 있다.

최근에는 세계적으로 사이버 범죄가 증가하는 가운데, 국가 배후의 지원을 받는 해킹 조직들이 이러한 APT 공격의 주축이 되고 있다. 이들은 외화벌이를 위한 가상자산 탈취는 물론, 국방·외교 관련 기밀을 수집하기 위해 한국의 주요 기관과 기업들을 노리고 있다.

지난해 APT 공격 패턴 변화는?

2025년 주요 북한 연계 공격 캠페인 타임라인 / 출처=로그프레소

보고서에 따르면, 2025년 북한 연계 해킹 조직은 정찰 기간을 늘려 은밀하게 움직인 뒤, 단계적으로 공격을 실행했다. 특히 과거와 달리 ‘정찰을 통한 최종 표적 선별’과 ‘실질적 타격’ 을 분리했다는 점이 특징이다. 이 과정에서 다단계 공격 구조와 운영체제(OS)별 맞춤형 침투 방식이 공통적으로 드러났다.

이들은 악성코드를 여러 겹으로 쌓아 침투시킨 뒤 즉시 실행하지 않는다. 대신 명령·제어(C2) 서버와 주기적으로 통신하며 표적의 환경에 맞춰 스크립트와 공격 루틴을 실시간으로 변경하며 보안 탐지를 회피했다. 충분히 정찰을 마친 후, 실질적인 공격 시 브라우저 인증 정보나 카드정보 등 목적에 맞는 고정 정보수집 모듈을 조합해 사용하는 식이다.

기술적으로는 운영체제를 가리지 않는 멀티 플랫폼 공격이 정착됐다. 윈도우(Windows) 사용자와 맥(macOS), 리눅스(Linux) 서버까지 겨냥한 악성코드가 발견됐다. 개발자들이 많이 사용하는 ‘npm’ 생태계에 악성 패키지를 유포하거나, IT 기업의 정상적인 소프트웨어 업데이트를 가장해 침투하는 등 공급망의 취약한 고리를 노리는 데 집중했다.

공격의 미끼 또한 치밀해졌다. 건강검진 안내, 성범죄자 고지서, 국세청 공지사항 등 일반 국민이라면 누구나 열어볼 만한 생활 밀착형 주제부터 세미나 안내문, 국방 자문 요청서 등 특정 전문가 집단을 겨냥한 전문적인 주제까지 활용됐다.

4대 북한 해킹 조직, 각자의 특기가 있다

지난해 김수키 공격 방식 / 출처=로그프레소

이번 보고서에서는 국내를 타겟으로 삼아온 라자루스(Lazarus), 김수키(Kimsuky), APT37, 코니(Konni) 등 주요 4개 공격 그룹의 사례를 분석했다. 이들은 공통적으로 국익을 위해 움직이지만, 구체적인 공격 수법과 타겟에서는 그룹마다 차이를 보였다.

라자루스는 가장 규모가 크고 공격적인 그룹으로, 주로 금융권과 암호화폐 거래소를 노린 외화벌이에 주력했다. 2025년에는 ‘Node.js’ 기반의 표준화된 공격 코드를 사용해 윈도우와 맥 환경을 동시에 타격했다. 엔비디아(Nvidia) 드라이버 패치로 위장해 고성능 컴퓨팅 환경을 사용하는 기업과 개발자들을 노리는가 하면, 단계별 디코딩 절차를 두어 보안 장비의 눈을 피했다.

김수키는 정치, 외교, 국방 분야 정보를 수집하는 스파이 활동에 집중했다. 2025년에는 한국인터넷진흥원(KISA) 등을 사칭하거나 건강검진 결과 안내 등을 미끼로 한글(HWP) 문서나 LNK, JSE 파일을 유포했다. 특히 침투 후 발자국을 지우는 ‘자가 삭제’ 기능과 정상 도구(LOLBins)를 활용해 로그나 흔적을 최소화하는 데 특화돼 있다.

APT37은 인권 관련 인터뷰 요청이나 입사지원서로 위장해 내부자 권한을 획득하는 방식을 썼다. 암호화된 쉘코드를 메모리에서 직접 실행해 흔적을 남기지 않고 보안 장비의 탐지를 우회한다. 또한 코니(Konni)는 효율성을 극대화한 공격 템플릿을 반복 사용했다. 금융 기관을 사칭한 문서를 활용해 다단계 실행 체인을 구동하며, 반복 루프 시스템으로 공격의 지속성을 유지했다.

북한 연계 APT 공격에 사용된 주요 C2 도메인 분포 / 출처=로그프레소

한편, 공격자들이 사용한 미끼 도메인 중 ‘o-r.kr’, ‘kro.kr’ 등 특정 도메인 서비스가 10% 이상의 비율을 차지했다. 특히 ‘navermails.com’, ‘navernnail.com’처럼 국내 유명 포털이나, 국세청(NTS), 국민연금공단(NPS), 네이버, 구글 같은 세계적인 서비스 도메인을 흉내 낸 ‘룩얼라이크 도메인(Lookalike Domains)’ 비중이 높아지고 있어 사용자들의 주의가 요구된다.

교묘해진 공격…보안 전략 패러다임 바꿔야

보안 전문가들은 2026년 국가 배후 APT 조직이 정찰 활동에 랜섬웨어를 결합한 혼합형 위협 모델을 확대할 것으로 전망했다. 단순 금전 탈취를 넘어 인프라 파괴와 사회 혼란을 노리는 전략형 공격에 APT 기법이 융합된다는 분석이다.

지난해 12월 로그프레소 기자간담회에서 양봉열 로그프레소 대표 모습 / 출처=IT동아

로그프레소는 보고서를 통해 기존의 파일 단위 분석과 침해 지표(IoC) 기반 대응을 유지하되, 정상 시스템 도구를 악용한 의심스러운 행동 패턴을 잡아내는 ‘행위 기반 탐지’와 능동적인 ‘위협 헌팅’ 역량을 강화해야 한다고 주장했다. 한승훈 로그프레소 CISO는 “단순한 보안 솔루션 도입을 넘어, 공격 행위를 종합적으로 분석하고 선제적으로 대응할 수 있는 체계로 보안 전략을 재정립해야 할 시점”이라고 강조했다.

지능화되는 공격에 맞서 보안 운영 전략은 통합 관리 체계로 진화해야 한다. 대표적으로 ▲전체 시스템과 네트워크 로그를 실시간 분석해 이상 징후를 탐지하는 ‘SIEM’ ▲엔드포인트의 의심 행동을 모니터링하고, 위협 발생 시 즉각 기기를 격리하는 ‘EDR’ ▲이들을 하나로 묶어 사고 대응 프로세스를 자동화하는 ‘SOAR’가 핵심 축을 이룬다. SOAR는 보안 인텔리전스 수집과 재해 복구 절차를 유기적으로 연결해 대응 시간을 단축하고 보안 인력의 효율성을 극대화한다.

양봉열 로그프레소 대표는 “사이버 공격은 더 이상 IT 부서만의 문제가 아니라, 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크”라며, “금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 데이터 유출을 넘어 서비스 중단, 신뢰도 하락, 규제 리스크로까지 확산될 수 있는 만큼 선제적인 대응이 필요하다”고 강조했다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

번호	제목	글쓴이	작성일	조회	추천
설문	결혼이 오히려 커리어에 손해였던 것 같은 스타는?	운영자	26/03/23	-	-
공지	이용자 메모 기능 및 차단 메뉴 추가	운영자	26/03/23	-	-
6800	[뉴스줌인] 청소력은 기본, 승부처는 '보안'… 삼성이 로봇청소기에 퀄컴 칩 단 까닭?	IT동아	03.23	12	0
6799	무심코 쓴 클라우드 요금 폭탄? 기업 필수 역량이 된 ‘핀옵스(FinOps)’	IT동아	03.23	10	0
6798	LG유플러스, 4월 13일부터 유심 무료 제공하는 이유	IT동아	03.23	31	0
6797	[IT애정남] 99만 원대 맥북 네오, 제가 쓰기엔 어떨까요? [2]	IT동아	03.23	845	1
6796	[신차공개] 링컨 '노틸러스 하이브리드'·현대차 '캐스퍼 일렉트릭 라운지' 출시	IT동아	03.23	12	0
6795	[주간투자동향] 텔레픽스, 150억 원 규모 프리IPO 투자 유치 外	IT동아	03.23	12	0
6794	“AI 시대 맞춤형 기술ㆍ디자인을 제안하다” 마이크로닉스 2026년 신제품 공개	IT동아	03.20	21	0
6793	어르신들도 손쉽게 AI 활용, 이렇게 한다면?	IT동아	03.20	85	0
6792	[스타트업리뷰] “파편화된 문서 작업은 그만”…비즈니스 특화 AI ‘라이너 라이트’	IT동아	03.20	20	0
6791	넷플릭스, 10년 스트리밍 기술력 집약...‘BTS 컴백 라이브’ 전 세계 생중계	IT동아	03.20	21	0
6790	[AI써봄] 구글 지메일 속 제미나이 사이드 패널···메일 관리 더 편해질까 [1]	IT동아	03.20	863	3
6789	[리뷰] 노이즈 캔슬링·음질·디자인 모두 개선, 소니 WF-1000XM6	IT동아	03.20	19	0
6788	삼성에 "감사" 외친 젠슨 황, 평택 찾은 리사 수··· 봄 맞은 한국의 AI 산업	IT동아	03.20	192	0
6787	[리뷰] 책상 위의 슈퍼컴퓨터, 엔비디아 DGX 스파크	IT동아	03.20	20	0
6786	대성파인텍 모노리스 사업부가 9.81파크를 통해 구축하는 즐거움의 미래	IT동아	03.20	21	0
6785	포르쉐, '카이엔 일렉트릭' 첫 공개…올해 영등포 등 서비스망 확장해 브랜드 성장 뒷받침	IT동아	03.19	31	0
6784	AI 중심 보안 자율화 시대 엿보다…세계 보안 엑스포 2026	IT동아	03.19	20	0
6783	동국대학교, 동아닷컴, 아이티동아, ‘스타트업 글로벌 홍보 프로그램’ MOU 체결... 우수 스타트업 해외진출 돕는다	IT동아	03.19	24	0
6782	'누구나 생활 속 위험 신고' 안전신문고, 직접 써보니 [1]	IT동아	03.19	740	6
6781	[스타트업-ing] 브리즘 “3D 프린팅 맞춤형 안경 세계로”	IT동아	03.19	100	0
6780	동국대 이세준 연구팀 "자가학습 촉각 인공지능 전자소자 개발"	IT동아	03.18	26	0
6779	“AI로 관리하고 즐거움은 데이터로” 테마파크 경험 혁신한 9.81파크	IT동아	03.18	36	0
6778	[월간자동차] 26년 2월, 기아 ‘쏘렌토’·테슬라 ‘모델 Y’ 판매 1위	IT동아	03.18	353	0
6777	SKT, 찾아가는 서비스 확대…“고객 신뢰, 현장 소통으로 회복”	IT동아	03.18	27	0
6776	[주간스타트업동향] 인포플라 '셀토(Selto)', iF 디자인 어워드 2026 본상 수상 外	IT동아	03.18	35	0
6775	[생활 속 IT] 실시간 버스 위치 확인, 카카오맵 ‘초정밀 버스’	IT동아	03.18	35	0
6774	[생활 속 IT] "검색하면 추천·요약" 네이버, 쇼핑 AI 에이전트 서비스 얼마나 유용할까	IT동아	03.18	26	0
6773	엔비디아 서버 CPU 공세에 인텔은 ‘동맹’ AMD는 ‘정면승부’…일반 PC 가격까지 영향? [2]	IT동아	03.18	1478	2
6772	통신사기피해환급법 개정···거래소에 보이스피싱 상시 감시 의무 부여	IT동아	03.18	23	0
6771	AI 시대 스타트업 성장 전략 제시, AWS 유니콘데이	IT동아	03.18	23	0
6770	[르포] 예테보리에서 탄생하는 프리미엄 전기차 디자인…‘지커 글로벌 디자인 센터’	IT동아	03.17	35	0
6769	엔비디아, 베라 루빈·그록 3로 학습 넘어 추론까지··· 국내 AI 반도체 '생존 해법'은?	IT동아	03.17	111	0
6768	[위클리AI] 앤스로픽, 클로드 파트너 네트워크 출범···구글 지도에도 제미나이 탑재 [1]	IT동아	03.17	966	1
6767	K-디자인의 영토 확장…하드웨어 넘어 AI·소프트웨어로	IT동아	03.17	106	0
6766	[주간보안동향] MS, 3월 보안 패치 배포…제로 클릭 공격 주의보 外	IT동아	03.17	37	0
6765	빗썸, 특금법 위반 ‘368억 원 과태료·6개월 일부 영업정지’	IT동아	03.17	29	0
6764	[신차공개] 8기통 오픈톱 '페라리 아말피 스파이더'·2027년형 '르노 아르카나' 출시 [1]	IT동아	03.16	902	1
6763	[정석희의 기후 에너지 인사이트] 6. 왜곡된 기후 데이터의 함정과 과학적 실체	IT동아	03.16	41	0
6762	[주간투자동향] 나이트라, 2750억 원 규모 투자 유치 外	IT동아	03.16	88	0
6761	이력서 대신 난제 던진 일론 머스크, '파격적이지만 정답이 있는 문제'	IT동아	03.13	117	0
6760	그룹아이비 “23년 쌓은 범죄 데이터 무기로 韓 공급망 보안 시장 공략”	IT동아	03.13	35	0
6759	울산교육청 “AI는 차단할 기술 아닌 교육의 대상…‘우리 아이(AI)’ 플랫폼 구축 배경”	IT동아	03.13	51	0
6758	[IT하는법] 스마트폰 기본 앱, 삭제하거나 숨기는 법	IT동아	03.13	113	0
6757	[황성진의 '고대 사상가, AI를 만나다'] 6/완. 칸트가 AI 시대에 태어났다면 말했을 한 마디	IT동아	03.13	32	0
6756	일상 속 스며든 유선ㆍ무선 네트워크 기술, 어떻게 구현될까?	IT동아	03.13	86	0
6755	"위급할수록 빠르게" 119안심콜 서비스, 취약계층 전용 아니었다	IT동아	03.12	40	0
6754	[자동차 디자人] ‘강력한 우아함’으로 ‘지커’ 정체성 구축…슈테판 실라프 디자인 총괄	IT동아	03.12	37	0
6753	레노버 테크데이 26, “기업 AI, 이제는 ‘실험’ 아닌 ‘실행’의 때”	IT동아	03.12	33	0
6752	천만 관객 시대, 야구 산업 속 첨단 기술 살펴보니	IT동아	03.12	36	0
6751	2026 BCMC “블록체인은 AI 시대의 신뢰 인프라”	IT동아	03.12	132	0

최근 방문

즐겨찾기

즐겨찾기 갤러리

이미지 올리기 이용안내

갤러리 이슈박스, 최근방문 갤러리

연관 갤러리

개념글 리스트

차단하기

[IT동아 갤러리]

갤러리 본문 영역

지난해 APT 공격 패턴 변화는?

4대 북한 해킹 조직, 각자의 특기가 있다

교묘해진 공격…보안 전략 패러다임 바꿔야

추천 비추천

댓글 영역

① NFT 발행

② NFT 구매

하단 갤러리 리스트 영역

왼쪽 컨텐츠 영역

갤러리 리스트 영역

페이지 이동

오른쪽 컨텐츠 영역

알림 설정

알림

디시콘 리스트

디시콘

디시콘 검색결과(0)

인기 디시콘