 |
ⓒ게티이미지뱅크 |
북한 연계 해킹그룹이 긴 호흡을 갖고 공격을 벌이고 있으며, 특히 기관 사칭 등을 통한 신뢰 기반 공격을 활발히 전개하고 있다는 분석이 나왔다.
로그프레소는 이 같은 내용을 담은 '2025 북한 연계 APT 공격 분석 회고' 보고서를 발행했다.
이번 보고서는 지난 한 해 동안 라자루스, 김수키, APT37, 코니 등 북한과 연계된 주요 4개 공격 그룹 APT 공격 사례를 기반으로 실제 공격 캠페인과 기술적 특징을 분석한 내용을 담았다.
보고서를 살펴보면, 북한 연계 조직은 단순한 침투 방식에서 벗어나 장기간 은밀한 정찰과 단계적 공격 실행을 벌였다. 공격자는 악성코드를 즉시 실행하지 않고 C2 서버와 통신하며 필요한 시점에만 공격 모듈을 내려보내는 방식으로 탐지를 회피했다.
특히 국방·북한 연구기관, 금융위원회·금융감독원, 카드사, 보안기관, 글로벌 정보기술(IT) 기업 등을 사칭한 문서와 파일을 활용해 사용자 실행을 유도하는 공격을 지속적으로 이어갔다. 이러한 방식은 조직 내부 보안 인식과 업무 프로세스를 직접 노리는 '신뢰 기반 공격'으로, 기업 중요 정보가 유출되는 경영 리스크로 이어질 수 있다.
 |
2025년 주요 북한 연계 공격 캠페인 타임라인. (로그프레소 제공) |
또 지난해 공격 사례에선 자동화한 다단계 공격 구조와 운영 체제별 맞춤형 침투 방식이 두드러졌다. 공격자는 특정 산업과 조직을 장기간 관찰한 뒤 실제 공격 대상을 선별하는 방식으로 공격 전략을 고도화하고 있다.
보고서는 이 같은 변화가 단순 악성코드 차단 중심 보안 체계만으로는 대응이 어렵다는 점을 시사한다고 강조했다. 공격자는 정상 시스템 도구를 악용하고 흔적을 최소화하는 방식으로 탐지 회피 전략을 강화하고 있어, 보안 운영 전반 전략적 전환이 요구된다.
양봉열 로그프레소 대표는 “사이버 공격이 더 이상 IT 부서만의 문제가 아니라 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크 요인으로 자리 잡고 있다”며 “특히 금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 데이터 유출을 넘어 서비스 중단, 신뢰도 하락, 규제 리스크로 확산할 수 있는 만큼 선제적 대응이 필요하다”고 말했다.
 |
북한 연계 APT 공격에 사용된 주요 C2 도메인 분포. (로그프레소 제공) |
조재학 기자 2jh@etnews.com
[Copyright © 전자신문. 무단전재-재배포금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.