북한 Lazarus 그룹이 범죄 조직 Spearwing의 Medusa 랜섬웨어를 배포한 사건을 분석합니다. 15억 달러를 훔치는 조직이 26만 달러 랜섬웨어를 쓰는 전략적 이유를 해부합니다.
댓글은 익명으로 작성되며, 삭제 비밀번호를 설정하면 본인만 삭제할 수 있습니다. 비밀번호를 설정하지 않은 댓글은 누구나 삭제할 수 있습니다.
2025년 2월, Lazarus 그룹은 15억 달러어치 이더리움을 Bybit에서 훔쳤다. 역사상 최대 규모의 암호화폐 해킹이었다. 방법은 정교했다. Safe{Wallet} 개발자의 워크스테이션을 소셜 엔지니어링으로 침투한 뒤, AWS 세션 토큰을 탈취하고 프론트엔드 코드를 조작해 정상 거래처럼 보이는 송금을 실행시켰다. 같은 해 11월, 한국을 포함해 58건의 공격을 수행한 같은 그룹이 미국 병원 네 곳의 이름을 랜섬웨어 유출 사이트에 올렸다. 몸값은 평균 26만 달러. 15억 달러를 훔칠 수 있는 조직이 왜 26만 달러짜리 랜섬웨어에 손을 대는 걸까.
Symantec Threat Hunter 팀이 보고서를 공개했다. Lazarus 그룹이 Medusa 랜섬웨어를 배포한 사실이 확인되었다.
피해 조직은 두 곳이다. 중동의 한 조직에서는 Medusa가 성공적으로 배포되었고, 미국의 한 의료 기관에서는 배포에 실패했다. 같은 시기 Medusa 유출 사이트에는 약 30개 피해 조직이 등록되었는데, 그 중 미국 의료·비영리 기관 네 곳이 포함되어 있었다. 자폐 아동 교육시설, 정신건강 비영리단체가 피해자 목록에 올라 있었다.
Lazarus라는 확신의 근거는 Comebacker 백도어였다. 이 도구는 Lazarus만 사용하는 것으로 알려져 있으며, Symantec은 "의심의 여지가 없다(undoubtedly)"고 표현했다.
이 공격의 특이점은 두 개의 도구 세트가 혼합되어 있다는 것이다. 정찰과 침투에는 Lazarus 고유 도구를, 최종 암호화에는 범죄 조직의 RaaS 도구를 사용했다.
킬체인: Lazarus 도구 + Medusa 암호화기
두 가지 경로가 확인되었다.
| 취약점 | 대상 | CVSS |
|---|---|---|
| ConnectWise ScreenConnect 인증 우회 | 10.0 | |
| Fortinet FortiClientEMS SQL 인젝션 | 9.8 |
패치되지 않은 원격 접속 도구와 보안 관리 솔루션이 진입점이 되었다. 보안 제품 자체가 공격 표면이 된 사례다.
침투 후에는 Lazarus만의 도구가 투입되었다.
횡이동은 PsExec, PDQ Deploy, BigFix로 수행했다. Rclone으로 데이터를 유출한 뒤 gaze.exe(Medusa 암호화기)를 배포했다. 섀도 복사본을 삭제하고 백업·보안 서비스를 종료한 뒤 파일을 암호화했다. 랜섬 노트 파일명은 !!!READ_ME_MEDUSA!!!.txt.
이 킬체인에서 Lazarus 도구(Comebacker, Blindingcan)와 Medusa 도구(gaze.exe)가 같은 환경에서 발견된 것이 핵심이다. 국가 APT의 정찰 역량과 범죄 조직의 수익화 인프라가 결합된 것이다.
Lazarus가 Medusa를 선택한 이유를 이해하려면, 북한의 사이버 수익 구조 전체를 봐야 한다.
Lazarus의 10년 해킹사를 보면 이 그룹은 랜섬웨어를 처음 만든 것이 아니다.
WannaCry (2017) — EternalBlue 취약점을 이용해 150개국 30만 대를 감염시켰다. 그러나 결제 처리 시스템이 고장 나 실제 수금액은 10~16만 달러에 불과했다. 피해액은 최대 40억 달러로 추정된다.
Maui (2021~2022) — Andariel(Lazarus 하위 그룹)이 미국 병원을 표적으로 사용한 자체 개발 랜섬웨어. FBI가 50만 달러의 몸값을 회수했다. 2024년 미국 법무부는 Andariel 소속 임종혁에 대해 체포 영장을 발부하고, 국무부가 1,000만 달러 현상금을 걸었다.
H0lyGh0st (2021~2022) — 중소기업을 표적으로 한 또 다른 자체 랜섬웨어. Microsoft가 Andariel과의 인프라 공유와 통신 기록을 확인했다.
Chainalysis에 따르면 북한의 암호화폐 탈취 규모는 급증했다.
| 연도 | 탈취액 |
|---|---|
| 2023 | 약 10억 달러 |
| 2024 | 13.4억 달러 |
| 2025 | 20.2억 달러 |
2025년 2월 Bybit 해킹(15억 달러)은 단일 건으로 2024년 전체 탈취액을 초과했다. UN 보고서에 따르면 이 자금은 북한 대량살상무기(WMD) 프로그램 재원의 최대 50%를 차지한다.
그런데 2024년부터 새로운 패턴이 나타났다.
2024년 9월 — Andariel(Jumpy Pisces)가 Play 랜섬웨어 운영자와 협업했다. Palo Alto Unit 42에 따르면, Andariel은 5월에 탈취한 계정으로 초기 접근을 확보한 뒤 자체 도구(Sliver C2, DTrack)를 배포했고, 최종 단계에서 Play 랜섬웨어가 실행되었다. 북한 국가 행위자가 범죄 랜섬웨어 네트워크와 협력한 첫 공개 사례였다.
2025년 11월~2026년 2월, Medusa 사건에서도 같은 패턴이 반복된다. 자체 도구(Comebacker, Blindingcan)로 침투하고 범죄 조직 Spearwing의 암호화기(gaze.exe)로 마무리하는 구조다. 달라진 점은 Play에서는 "협업"이었지만, Medusa에서는 Lazarus가 독자적으로 RaaS 도구를 운용한 것으로 보인다는 점이다.
3단계: 범죄 RaaS 채택 (2024~현재)
세 가지 이유가 있다.
귀속 회피 — 자체 랜섬웨어(WannaCry, Maui)는 코드 분석으로 북한이 특정된다. 범죄 조직의 RaaS를 사용하면 수십 개의 제휴 그룹(Affiliate) 중 하나로 섞여 들어가 국제적 책임 추궁이 어려워진다.
제재 우회 — 암호화폐 탈취는 규모가 크지만 세탁이 어렵다. Bybit 해킹 후 48시간 내 1.6억 달러를 세탁했지만, 나머지는 크로스체인 브릿지와 탈중앙화 거래소를 거쳐야 했다. 랜섬웨어 몸값은 소규모지만 추적이 더 어렵고, 즉시 현금화가 가능하다.
수익 다각화 — Symantec은 "북한의 탐욕스러운 사이버 범죄 개입이 줄어들 기미가 없다"고 평가했다. 대규모 해킹은 고수익이지만 빈도가 낮다. 랜섬웨어는 소규모지만 지속적인 수익원이 된다. 법무부가 임종혁을 기소하고 1,000만 달러 현상금을 걸었지만, Medusa 캠페인은 기소 직후 시작되었다.
Lazarus가 선택한 Medusa는 어떤 도구인가.
Medusa는 2021년 6월 폐쇄형으로 시작해 2022년 말 RaaS(서비스형 랜섬웨어) 모델로 전환했다. 운영 조직은 Spearwing이다. FBI·CISA가 2025년 3월 공동 경보(AA25-071A)를 발표할 시점까지 300개 이상의 주요 인프라 조직이 피해를 입었다.
| 항목 | 수치 |
|---|---|
| 피해 조직 수 | 400+ (유출 사이트 기준) |
| 2023→2024 증가율 | +42% |
| 몸값 범위 | 10만~1,500만 달러 |
| 지불 기한 연장 | 하루 1만 달러 |
Medusa는 이중 협박을 사용한다. 파일을 암호화한 뒤, 10일 내 몸값을 지불하지 않으면 탈취한 데이터를 유출 사이트에 공개한다. 기한 연장에는 하루 1만 달러를 요구한다.
Spearwing의 특이점은 TTP 일관성이 비정상적으로 높다는 것이다. 대부분의 RaaS 운영자는 수십~수백 명의 제휴 그룹에 도구를 제공하고 공격 방식은 각자에게 맡긴다. 그러나 Medusa 공격들은 도구, 순서, 기법이 거의 동일하다. Spearwing이 직접 수행하거나, 극소수의 제휴 그룹에 엄격한 플레이북을 제공하는 것으로 보인다.
Lazarus가 이 구조에 어떻게 접근했는지는 확인되지 않았다. 제휴 그룹으로 참여했을 수도 있고, Medusa 도구를 별도로 획득했을 수도 있다. 분명한 것은 침투에는 Lazarus 고유 도구를 쓰고, 수익화에만 Medusa를 사용했다는 점이다.
Symantec이 공개한 핵심 지표:
네트워크 IOC:
23.27.140[.]49, 23.27.140[.]135, 23.27.140[.]228amazonfiso[.]com, human-check[.]com, trustpdfs[.]com파일 IOC:
15208030eda48b3786f7d85d756d2bd6596ef0f465d9c8509a8f02c53fad9a10!!!READ_ME_MEDUSA!!!.txt탐지 포인트:
AI 활용 안내 이 글은 AI(Claude)의 도움을 받아 작성되었습니다. 인용된 통계와 사례는 참고 자료에 명시된 출처에 근거하며, 설명을 위한 일부 표현은 각색되었습니다.
면책 조항 본 글은 보안 인식 제고를 위한 교육 목적으로 작성되었습니다. 언급된 공격 기법을 실제로 시도하는 행위는 「정보통신망법」, 「형법」 등에 따라 처벌받을 수 있으며, 본 블로그는 이에 대한 법적 책임을 지지 않습니다.