댓글 (0)
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
Lazarus와 Kimsuky가 2026년 2월까지 한국을 대상으로 감행한 58건의 APT 공격 분석. Operation SyncHole 공급망 침투, LNK 파일 공격 트렌드, 커스텀 가능한 Splunk 탐지 쿼리 제공.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2024년 11월, 한국의 주요 IT 기업 보안팀은 이상한 신호를 감지했다. Cross EX 소프트웨어가 평소와 다른 동작을 보였고, 합법적인 프로세스인 SyncHost.exe가 실행됐다. 그런데 그 안에는 셸코드가 숨어 있었다.
안랩의 2025년 사이버 위협 보고서에 따르면, 2024년 10월부터 2025년 9월까지 북한 연계 APT 그룹이 한국을 대상으로 58건의 공격을 감행했다. Lazarus가 31건, Kimsuky가 27건이었다.
이 글은 라자루스(Lazarus) 그룹 종합 분석 허브에서 다루는 활동의 일부입니다.
2024년 11월부터 2025년 2월까지, Lazarus는 Operation SyncHole이라는 이름의 캠페인을 통해 최소 6개 한국 기업을 침해했다. 표적은 IT, 금융, 반도체, 통신 분야였다.
| 단계 | 방법 | 설명 |
|---|---|---|
| 1. 침투 | 워터링 홀 | 한국 주요 포털 사이트에 서버 측 스크립트 삽입 |
| 2. 프로파일링 | 방문자 선별 | 특정 조직 IP → 악성 도메인으로 리디렉션 |
| 3. 취약점 악용 | Cross EX, Innorix Agent | 금융/공공기관에서 필수로 설치하는 소프트웨어 공격 |
Innorix Agent 제로데이 (KVE-2025-0014)
Innorix Agent 버전 9.2.18.496에는 원격 코드 실행 취약점이 있었다. 이 소프트웨어는 한국 금융권과 공공기관에서 보안 파일 전송용으로 광범위하게 사용되고 있었다.
Kaspersky가 이 취약점을 발견하고 KrCERT와 개발사에 보고했을 때, 이미 여러 조직이 침해된 후였다.
Lazarus는 합법적인 SyncHost.exe 프로세스를 실행한 뒤 셸코드를 주입하는 방식으로 ThreatNeedle 백도어를 설치했다.
ThreatNeedle은 37개 명령을 수행할 수 있으며, 다음 기능을 포함한다:
추가로 배포된 도구:
Kimsuky는 2025년 동안 5개의 별도 캠페인을 수행했다. 표적은 국방 산업, 정부 연구기관, 금융 기관이었다.
2025년 Kimsuky 공격의 가장 큰 특징은 정찰 단계와 실제 공격의 분리였다.
초기 침투에서는 키로거와 정보 수집 도구만 배포했다. 최종 표적으로 선별된 조직에만 실제 백도어와 데이터 탈취 모듈을 투입하는 2단계 전략을 사용했다.
Kimsuky가 스피어 피싱에 사용한 미끼:
모든 단계에서 AES-256 암호화를 사용했으며, 복호화 키는 일관되게 유지됐다. 이는 탐지를 회피하면서도 운영 효율성을 유지하기 위한 선택이었다.
안랩의 2026년 2월 APT 동향 보고서에 따르면, LNK 파일이 가장 많이 사용된 공격 수단으로 등장했다.
다운로드된 AutoIt 스크립트는 다음 기능을 수행한다:
공격자는 GitHub 저장소나 Google Drive에 악성 HTA 파일을 호스팅했다.
HTA 파일은 메모리에 로드되며:
2025년 한국을 대상으로 한 북한 APT 공격은 전략적 진화를 보여줬다.
Lazarus는 공급망 공격으로 전환해 널리 쓰이는 소프트웨어의 제로데이를 악용했다. Kimsuky는 정찰과 실제 공격을 분리해 탐지를 회피하면서 최종 표적에만 자원을 집중했다.
2026년에도 이 추세는 이어지고 있다. LNK 파일과 HTA를 활용한 공격이 주류가 됐고, GitHub와 Google Drive 같은 합법적 플랫폼을 악용하는 사례가 늘었다.
이 캠페인이 남긴 함의는 분명하다. 금융권과 공공기관이 필수로 설치하는 국산 보안 소프트웨어(Cross EX·Innorix Agent)가 역으로 침투 경로가 됐다는 점이다. 신뢰받는 소프트웨어일수록 공급망의 단일 실패점이 될 수 있다는 사실을, Operation SyncHole은 6개 기업의 침해로 입증했다.
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.