2014년 소니 픽처스 해킹 사건으로 전 세계의 주목을 받기 시작한 Lazarus 그룹 은 현재 가장 위험하고 정교한 사이버 범죄 조직 중 하나로 평가받고 있습니다. 북한 정찰총국의 지원을 받는 것으로 추정되는 이 그룹은 지난 10년간 정치적 목적부터 금전적 이익까지 다양한 동기로 전 세계를 대상으로 사이버 공격을 감행해왔습니다.
초기 등장과 정치적 동기 (2009-2014)
Lazarus 그룹 의 첫 번째 주요 활동은 2009년 DarkSeoul 작전 으로 거슬러 올라갑니다. 이 시기의 공격은 주로 정치적 목적이 강했으며, 한국과 미국의 정부 기관 및 금융 기관을 대상으로 했습니다. 초기 공격에서는 디스크 와이퍼(Disk Wiper) 악성코드를 사용하여 시스템을 완전히 파괴하는 것이 특징이었습니다.
2013년에는 한국의 주요 방송사와 은행을 대상으로 한 사이버 테러 를 감행했습니다. KBS, MBC, YTN 등 방송 3사와 신한은행, 농협, 제주은행의 전산망을 마비시키며 약 32,000대의 컴퓨터를 감염시켰습니다. (이 공격의 상세 분석: 3.20 사이버테러 전말) 이 공격에서 사용된 악성코드 는 하드디스크의 마스터 부트 레코드(MBR)를 파괴하여 시스템을 완전히 사용 불가능하게 만들었습니다.
소니 픽처스 해킹과 국제적 주목 (2014)
2014년 11월, Lazarus 그룹 은 소니 픽처스 엔터테인먼트 를 해킹하여 전 세계적인 주목을 받았습니다. 이 공격은 김정은을 암살하는 내용의 영화 '인터뷰'의 개봉을 막기 위한 것으로 분석되었습니다.
공격자들은 Guardians of Peace(GOP) 라는 이름으로 활동하며 약 100TB에 달하는 내부 데이터를 탈취했습니다. 여기에는 직원들의 개인정보, 임원진의 이메일, 미공개 영화 등이 포함되었습니다. 특히 Destover 라는 와이퍼 악성코드를 사용하여 수천 대의 컴퓨터를 파괴했습니다.
이 사건은 미국 FBI 가 공식적으로 북한의 소행으로 결론지었으며, 사이버 공격이 국제 정치 문제로 확산된 대표적인 사례가 되었습니다.
금융 범죄로의 전환점 (2015-2016)
2015년부터 Lazarus 그룹 은 정치적 목적에서 금전적 이익 추구로 활동 방향을 전환했습니다. 이는 북한에 대한 국제 제재가 강화되면서 외화 획득의 필요성이 커진 것과 관련이 있는 것으로 분석됩니다.
2016년 2월, 가장 대담한 금융 범죄 중 하나인 방글라데시 중앙은행 해킹 사건이 발생했습니다. 공격자들은 SWIFT 네트워크를 통해 10억 달러를 탈취하려 했으나, 철자 오류와 시간대 차이로 인해 실제로는 8,100만 달러만 성공적으로 빼돌렸습니다.
이 공격에서는 맞춤형 악성코드 를 사용하여 SWIFT 시스템에 침투했으며, 거래 기록을 삭제하여 흔적을 숨기려 했습니다. 탈취된 자금은 필리핀의 카지노를 통해 세탁되었습니다.
WannaCry와 암호화폐 시대의 적응 (2017-2019)
2017년 5월, Lazarus 그룹 은 역대 최대 규모의 랜섬웨어 공격인 WannaCry 를 통해 다시 한번 전 세계를 충격에 빠뜨렸습니다. 이 공격은 150개국 30만 대 이상 의 컴퓨터를 감염시켰으며, 영국 NHS(국민보건서비스), 스페인 통신사 Telefónica, 독일 철도청, FedEx 등 주요 기관과 기업들이 피해를 입었습니다.
WannaCry는 미국 NSA에서 유출된 EternalBlue 익스플로잇을 활용하여 Windows SMB 취약점을 통해 급속도로 확산되었습니다. 피해액은 수억에서 수십억 달러로 추정됩니다.
WannaCry의 북한 귀속 증거
2017년 12월, 미국 정부는 공식적으로 WannaCry를 북한의 소행으로 발표 했습니다. 백악관 국토안보보좌관 톰 보서트는 월스트리트저널 기고문에서 "이 주장은 가볍게 하는 것이 아니며, 증거에 기반한다"고 밝혔습니다.
| 증거 유형 | 내용 |
|---|---|
| 코드 유사성 | Kaspersky, Symantec이 이전 Lazarus 악성코드와 코드 패턴 일치 확인 |
| 언어 분석 | 랜섬웨어 언어 파일 생성 컴퓨터에 한글 폰트 설치 확인 |
| 시간대 설정 | 메타데이터에서 UTC+09:00 (한국 시간대) 확인 |
| 기소 | 2018년 미 법무부, 북한 프로그래머 박진혁 을 WannaCry 개발 혐의로 기소 |
영국 NCSC(국가사이버보안센터)도 "매우 높은 확률로(highly likely)" Lazarus 그룹의 소행이라고 평가했으며, 호주, 캐나다, 뉴질랜드도 이 귀속에 동의했습니다.
암호화폐 거래소 공격
암호화폐의 부상과 함께 Lazarus 그룹 은 새로운 수익원을 발견했습니다. 2017년부터 전 세계 암호화폐 거래소를 대상으로 한 공격을 본격화했습니다.
주요 사건들:
- 2017년: 한국의 빗썸 거래소 해킹으로 수십억 원 상당의 암호화폐 탈취
- 2018년: 코인체크 거래소 해킹으로 약 5.3억 달러 상당의 NEM 코인 탈취
- 2019년: 드래곤엑스 거래소 해킹으로 700만 달러 상당의 암호화폐 탈취
이 시기의 공격에서는 스피어 피싱과 공급망 공격 기법이 정교해졌으며, 특히 가짜 암호화폐 거래 애플리케이션 을 통한 공격이 두드러졌습니다.
팬데믹 시대의 기회주의 (2020-2022)
COVID-19 팬데믹 은 Lazarus 그룹 에게 새로운 기회를 제공했습니다. 원격 근무 증가와 디지털 전환 가속화를 악용하여 공격 범위를 확대했습니다.
2020년에는 의료 기관과 제약회사 를 대상으로 한 공격이 증가했습니다. 특히 코로나19 백신 개발 정보를 탈취하려는 시도가 포착되었습니다. AstraZeneca 등 주요 제약회사들이 표적이 되었으며, 가짜 구인 공고를 통한 소셜 엔지니어링 공격이 활용되었습니다.
2021년에는 DeFi(탈중앙화 금융) 플랫폼 공격으로 활동 영역을 확장했습니다. Ronin Network 해킹 에서는 6억 1,500만 달러 상당의 암호화폐를 탈취하여 역대 최대 규모의 DeFi 해킹 사건을 일으켰습니다.
현재와 미래: 지속되는 위협 (2023-현재)
2023년 현재 Lazarus 그룹 은 여전히 활발하게 활동하고 있으며, 그들의 전술, 기법, 절차(TTP) 는 계속 진화하고 있습니다.
최신 공격 기법들:
1. 공급망 공격의 정교화
- 정당한 소프트웨어 개발 도구에 악성코드 삽입
- 오픈소스 프로젝트를 통한 은밀한 침투
2. AI와 머신러닝 악용
- 딥페이크 기술을 활용한 소셜 엔지니어링
- 자동화된 스피어 피싱 캠페인
3. 제로데이 취약점 활용
- Windows, Chrome 등 주요 소프트웨어의 제로데이 취약점 구매 및 활용
- APT(Advanced Persistent Threat) 공격의 지속성 향상
현재 추정 피해 규모
미국 재무부 에 따르면, Lazarus 그룹 은 지난 5년간 약 17억 달러 상당의 암호화폐를 탈취한 것으로 추정됩니다. 이는 북한 GDP의 약 7%에 해당하는 규모입니다.
나를 지키는 방법: Lazarus 공격에서 살아남기
Lazarus 그룹의 공격은 대기업이나 정부만의 문제가 아닙니다. 암호화폐를 보유하거나 온라인 금융 서비스를 이용하는 일반인도 표적 이 될 수 있습니다.
개인이 할 수 있는 보안 수칙
1. 의심스러운 이메일과 메시지 주의하기
- "채용 제안", "투자 기회" 등의 메시지에 포함된 링크 클릭 전 발신자 확인
- 특히 LinkedIn, 텔레그램 등에서 오는 암호화폐 관련 DM 경계하기
- 첨부파일은 출처가 확실할 때만 열기
2. 암호화폐 자산 보호하기
- 대량의 암호화폐는 하드웨어 지갑(콜드 월렛) 에 보관
- 거래소에는 거래에 필요한 최소한의 금액만 유지
- 2단계 인증(2FA)은 SMS 대신 인증 앱 사용
3. 소프트웨어 최신 상태 유지하기
- Windows 보안 업데이트 즉시 적용 (WannaCry는 패치된 취약점을 악용)
- 브라우저, 오피스 등 자주 쓰는 프로그램 자동 업데이트 활성화
- 출처 불명의 프로그램 설치하지 않기
4. 가짜 앱과 사이트 구별하기
- 암호화폐 거래 앱은 반드시 공식 앱스토어 에서만 다운로드
- 웹사이트 주소(URL)가 정확한지 철자까지 확인
- "수익 보장", "원금 보장" 등의 문구는 99% 사기
피해를 입었다면?
- 즉시 해당 거래소/서비스에 신고
- 한국인터넷진흥원(KISA) 118 상담센터 연락
- 경찰청 사이버수사대에 신고
결론: 끝나지 않은 사이버 전쟁
Lazarus 그룹 의 10년 진화사를 살펴보면, 이들이 단순한 사이버 범죄 조직이 아닌 국가 차원의 전략적 자산 임을 알 수 있습니다. 정치적 목적에서 시작하여 경제적 이익 추구로 전환한 그들의 변화는 북한의 국제적 고립과 경제 제재 상황을 반영합니다.
더욱 우려되는 점은 그들의 기술적 역량이 지속적으로 향상되고 있다는 것입니다. AI, 블록체인, IoT 등 새로운 기술이 등장할 때마다 이를 악용할 새로운 방법을 찾아내고 있습니다.
일반인에게 중요한 것은 기본적인 보안 습관 입니다. 의심스러운 링크를 클릭하지 않고, 소프트웨어를 최신 상태로 유지하며, 암호화폐 자산을 안전하게 관리하는 것만으로도 대부분의 공격을 예방할 수 있습니다. Lazarus 그룹은 계속 진화하겠지만, 우리의 보안 의식도 함께 진화해야 합니다.
참고 자료
- MITRE ATT&CK - Lazarus Group (G0032)
- CISA - North Korea Threat Overview (HIDDEN COBRA)
- CISA - FASTCash 2.0: North Korea's BeagleBoyz Robbing Banks
- Wikipedia - 2013 South Korea Cyberattack
- Wikipedia - WannaCry ransomware attack
- U.S. Department of Justice - North Korean Programmer Charged
- Kaspersky SecureList - APT Reports
- CrowdStrike Adversary Intelligence
📌 이 글은 AI(Claude) 를 활용하여 작성되었습니다. 본 콘텐츠는 보안 교육 및 방어 목적으로만 제공되며, 이를 악용한 불법 행위에 대한 책임은 전적으로 행위자 본인에게 있습니다.
관련 글
Lazarus가 사용한 MITRE ATT&CK 기법
- 자격증명 덤핑: 공격 체인의 핵심 단계 | T1003 - 금융 시스템 침투 시 자격증명 탈취
- 스크립트 기반 공격: 왜 모든 해커가 사용하는가 | T1059 - 악성코드 실행 기반
- PowerShell 악성코드 탐지 | T1059.001 - Windows 환경 공격 도구
- EDR 우회 공격 | T1562.001 - 보안 솔루션 무력화
관련 사이버보안 사건
- 3.20 사이버테러: 32,000대 PC를 파괴한 북한 다크서울 공격의 전말
- SK텔레콤 2324만명 유심 침해 분석: BPFDoor 악성코드의 3년간 잠복
- NotPetya 공격: 100억 달러 피해를 낸 러시아의 사이버 전쟁 무기
- 사회공학 공격: 심리를 노린 침해의 실체와 방어법
- 1.25 인터넷 대란: 376바이트 웜이 대한민국을 마비시킨 날
안내 및 법적 고지
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 공격 기법의 사실관계는 인용된 참고 자료에 근거하며, 대화체 표현과 장면 묘사는 이해를 돕기 위해 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.
COMMENTS (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.