댓글 (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
그룹
라자루스(Lazarus) 그룹: 북한 해킹조직 G0032, 금융탈취부터 랜섬웨어까지
북한 라자루스(MITRE G0032) 그룹 종합 분석. 소니 해킹, Bybit 15억 달러 탈취, Medusa 랜섬웨어, 한국 58건 공격까지 활동 궤적과 도구, MITRE 킬체인을 정리한 허브.
북한 라자루스(MITRE G0032) 그룹 종합 분석. 소니 해킹, Bybit 15억 달러 탈취, Medusa 랜섬웨어, 한국 58건 공격까지 활동 궤적과 도구, MITRE 킬체인을 정리한 허브.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 3월, 한 암호화폐 거래소에서 15억 달러어치 이더리움이 사라졌다. 역사상 최대 규모의 암호화폐 해킹이었고, 배후는 북한의 라자루스(Lazarus) 그룹이었다. 같은 그룹이 이듬해 미국 병원 네 곳의 이름을 랜섬웨어 유출 사이트에 올렸다. 요구한 몸값은 평균 26만 달러. 15억 달러를 훔치는 조직이 26만 달러짜리 범죄에도 손을 대는 이 모순이, 라자루스라는 조직의 정체를 압축한다. 이 글은 revelare.kr이 분석해 온 라자루스 관련 사건들을 한 자리에 모아 이 조직의 궤적과 기법을 정리한 허브다.
라자루스는 북한 정찰총국(RGB)의 지원을 받는 것으로 추정되는 국가 해킹조직이다. MITRE ATT&CK는 이 그룹을 G0032로 등재하고 있으며, 미국 CISA는 Hidden Cobra, 마이크로소프트는 Diamond Sleet(구 ZINC)라는 별칭으로 추적한다. 2014년 소니 픽처스 공격 당시에는 Guardians of Peace를 자처했다. 라자루스의 최초 활동은 2009년 한국과 미국 기관을 겨냥한 DarkSeoul 작전으로 거슬러 올라가며, 초기 공격은 시스템을 파괴하는 디스크 와이퍼가 특징이었다.
라자루스는 단일 팀이 아니라 임무별 분파를 거느린 우산 조직에 가깝다. 금융 표적 작전은 APT38이라는 분파로, 한국 방산·기관 침투는 하위 조직 Andariel이 수행한 것으로 분석된다. 또 다른 북한 그룹 Kimsuky는 라자루스 산하가 아닌 별개 조직이지만, 한국을 겨냥한 캠페인에서 자주 나란히 관측된다.
라자루스의 행동을 관통하는 단일 동기는 제재 회피를 위한 정권 자금조달이다. 초기에는 정치적 보복과 첩보가 앞섰지만, 2015년을 기점으로 금전 탈취가 중심이 됐다. 표적 산업도 동기를 따라간다. 암호화폐 거래소와 디파이, 국제 은행 결제망(SWIFT), 방위산업, 그리고 소프트웨어 공급망이 반복 표적이다.
운영 시그니처는 세 가지로 요약된다. 첫째, 신뢰를 가장한 초기 침투다. 가짜 채용 면접과 공급망·워터링홀로 표적의 경계 안으로 들어간다. 둘째, 자체 백도어와 빌린 도구의 혼합이다. ThreatNeedle·Comebacker 같은 고유 도구로 침투하되 최종 단계에서는 범죄 시장의 랜섬웨어를 빌린다. 셋째, 보안 텔레메트리 자체를 무력화하는 커널 수준 회피다.
라자루스의 활동사는 동기 전환의 기록이다. 시간순으로 다섯 사건이 그 곡선을 보여준다.
2013년 3.20 사이버테러에서 라자루스는 KBS·MBC·YTN 등 방송 3사와 신한·농협·제주은행의 전산망을 마비시키며 약 32,000대를 파괴했다. 하드디스크의 마스터 부트 레코드를 지우는 와이퍼가 사용됐다(상세: 3.20 사이버테러 전말). 2014년 소니 픽처스 해킹에서는 약 100TB의 내부 데이터를 탈취하고 Destover 와이퍼로 수천 대를 파괴했으며, FBI가 공식적으로 북한의 소행으로 결론지었다.
금전 동기가 정점에 이른 사건이 2025년 3월 Bybit 탈취다. 라자루스는 Safe{Wallet} 개발자 워크스테이션을 사회공학으로 침투한 뒤 AWS 세션 토큰을 탈취하고 프론트엔드 코드를 조작해, 정상 거래로 위장한 송금으로 15억 달러어치 이더리움을 빼냈다. 그리고 2026년 2월, Symantec Threat Hunter 팀은 라자루스가 Medusa 랜섬웨어를 배포한 사실을 확인했다. 결정적 근거는 라자루스만 사용하는 Comebacker 백도어였고, Symantec은 귀속에 "의심의 여지가 없다"고 표현했다.
라자루스의 도구 세트는 자체 개발과 외부 조달이 공존한다. 대표 도구는 다음과 같다.
| 도구 | 역할 |
|---|---|
| ThreatNeedle | 37개 명령 백도어, 자격증명·결제 데이터 탈취 |
| Comebacker | 라자루스 고유 백도어, 귀속의 결정적 단서 |
| FudModule | 커널 루트킷, ETW 프로바이더 95개 무력화 |
이 밖에 가짜 채용 캠페인에서는 GolangGhost 백도어가, 암호화폐 표적에서는 AppleJeus 다운로더가 쓰였다. 최종 암호화 단계에서는 자체 도구 대신 Medusa 랜섬웨어라는 범죄 시장의 RaaS를 빌렸다. 정찰·침투는 고유 도구로, 마무리는 빌린 도구로 처리하는 이 분업이 라자루스의 비용·귀속 회피 전략을 보여준다.
라자루스의 반복 킬체인은 초기 침투부터 임팩트까지 일정한 패턴을 따른다. 각 단계의 주력 기법은 다음과 같다.
초기 침투는 피싱 4개 하위기법을 상황에 맞게 조합한다. 이메일 첨부(T1566.001)는 Andariel의 방산 침투에서, 서비스 경유(T1566.003)는 LinkedIn 가짜 채용에서 선택됐다. 주목할 단계는 방어 무력화다. FudModule 루트킷이 ETW 프로바이더를 끄면 보안 솔루션은 실행 중이어도 이벤트를 받지 못한다. 이 공백 자체가 역설적으로 탐지 신호가 된다. 텔레메트리가 갑자기 끊긴 구간, 평소 잡히던 프로세스 생성 이벤트의 부재가 침해의 흔적이기 때문이다. 파일 단위에서는 YARA 룰이 안티바이러스 시그니처보다 먼저 Comebacker·AppleJeus를 식별하는 경로로 남는다.
라자루스에게 한국은 상수 표적이다. 안랩의 2025년 보고서에 따르면 2024년 10월부터 2025년 9월까지 북한 연계 APT가 한국을 상대로 감행한 공격은 58건이며, 이 중 라자루스가 31건, Kimsuky가 27건이었다(상세 분석).
가장 정교한 사례가 Operation SyncHole이다. 2024년 11월부터 2025년 2월까지 라자루스는 한국 주요 포털에 서버 측 스크립트를 심는 워터링홀로 방문자를 선별한 뒤, 금융권과 공공기관이 필수로 설치하는 Cross EX와 Innorix Agent의 취약점을 악용했다. Innorix Agent의 원격 코드 실행 제로데이(KVE-2025-0014)는 Kaspersky가 발견해 KrCERT에 보고했을 때 이미 IT·금융·반도체·통신 분야 최소 6개 기업이 침해된 뒤였다. 라자루스는 합법 프로세스 SyncHost.exe에 셸코드를 주입해 ThreatNeedle 백도어를 설치했다. 더 거슬러 올라가면 2018년 하위 조직 Andariel이 한국 방산·에너지 기관에 악성 Word 첨부 메일을 보낸 캠페인이 있었고, 그 침투 문법은 파일 포맷만 바꿔가며 지금도 반복되고 있다.
도입부의 모순으로 돌아가 보면, 15억 달러를 빼낸 조직이 26만 달러짜리 랜섬웨어에도 손을 대는 이유는 단순하다. 라자루스에게 공격은 이념이 아니라 자금조달이며, 큰 한 건이든 작은 여러 건이든 정권으로 돈을 보낸다는 목표는 동일하다. 한국이 10년 넘게 상수 표적으로 남는 것도 같은 논리의 연장선이다. 라자루스의 다음 표적을 가늠하려면 새 기법을 좇기보다 "어디에 돈이 모이고, 누구의 신뢰가 침투 통로가 되는가"를 먼저 묻는 편이 빠르다.
라자루스는 북한 정찰총국 연계로 추정되는 국가 해킹조직으로, MITRE ATT&CK에 G0032로 등재돼 있다. 2009년부터 활동했으며 정치 보복, 첩보, 그리고 제재 회피를 위한 자금조달을 동기로 전 세계를 공격해 왔다.
2025년 3월 Bybit 거래소에서 15억 달러어치 이더리움을 탈취한 사건으로, 역사상 최대 규모의 암호화폐 해킹으로 기록됐다. 2014년 소니 픽처스 해킹과 2013년 한국 3.20 사이버테러도 대표 사건이다.
Andariel은 라자루스의 하위 조직으로 한국 방산·기관 침투를 담당한다. Kimsuky는 라자루스 산하가 아닌 별개의 북한 해킹조직이지만, 한국을 겨냥한 캠페인에서 라자루스와 함께 관측되는 경우가 많다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.