글로벌 보안 기업 트렐릭스의 최신 보고서에 따르면, 북한 정부와 연계된 해커 조직들이 전 세계 사이버 전장에서 국가 배후 공격을 사실상 주도하며 글로벌 안보를 위협하고 있다. 올해 4월부터 9월까지 탐지된 국가 배후 공격의 상당 부분에서 북한의 흔적이 발견되었으며, 북한발 사이버 작전은 외화 벌이, 국가 정보 수집, 첨단 기술 탈취라는 전략적 목표를 위해 다층적이고 고도화된 형태로 진화하는 중이다.
북한 3대 해커 조직의 압도적 비중과 고도화된 전술
북한의 최정예 해킹 조직인 라자루스, 안다리엘, 김수키 그룹이 탐지된 전체 국가 배후 사이버 공격 중 18.2%를 차지하며 단일 국가 배후 공격 조직 중 가장 높은 비중을 기록하고 있다. 특히 라자루스는 단독으로 8.6%를 기록하며 압도적인 1위를 차지한다. 이러한 수치는 북한이 사이버 공간을 주요 전략 도구로 활용하고 있음을 명확히 보여준다.
이들 북한 해커들이 집중적으로 사용하는 공격 기법은 Living Off The Land 전술이다. 이 전술은 별도의 악성 코드를 시스템에 설치하지 않고, 윈도우의 기본 기능인 명령 프롬프트나 파워셸 등 정상적인 내부 도구를 악용하여 공격을 수행하는 방식이다. 공격자가 정상적인 시스템 기능을 사용하기 때문에 기존의 보안 시스템이 이를 악성 행위로 인식하지 못하고, 공격 행위가 정상 네트워크 활동에 섞여 은밀하게 탐지를 회피할 수 있다. 트렐릭스는 이러한 악성 코드 없는 침입 방식의 확산을 APT 생태계가 한 단계 진화한 명백한 증거로 평가한다.
공격 대상 집중화와 지정학적 요인의 연관성
북한 해커들의 공격 대상은 특정 산업 및 국가에 집중되는 양상을 보인다. 산업 부문에서는 통신 부문이 전체 공격의 71%를 차지하며 가장 심각한 피해를 경험하였고, 그 뒤를 기술, 운송, 비즈니스 서비스, 금융 부문이다. 통신 인프라는 국가 간 연결 및 정보 교환의 핵심 통로이므로, 이를 겨냥한 북한의 공격이 글로벌 정보전의 성격을 강하게 띤다고 분석된다.
국가별 피해 순위에서는 튀르키예가 최다 피해국을 기록하였고 미국이 2위를 차지한다. 트렐릭스는 튀르키예가 유럽과 아시아를 잇는 전략적 위치에 있으며 나토와 중동을 연결하는 지정학적 요지라는 점이 공격을 유인하는 주요 원인이라고 분석한다. 이는 북한이 단순히 금전적 이득을 넘어, 지정학적 정보 획득과 동맹국 체계 교란이라는 전략적 목표를 가지고 공격 대상을 선정하고 있음을 시사한다.
대응책: 제로 트러스트 모델 도입과 협력 강화 시급하다
북한 해커들은 내부망 침투를 위해 IT 원격 근무자를 사칭하거나 구직 사이트를 악용하는 등 사회공학적 수법을 능숙하게 구사한다. 이는 인적 취약점을 노려 내부 시스템에 발판을 마련하려는 정교한 시도로, 단순한 금전 탈취 목적을 넘어선 국가 간 정보전의 일환으로 간주해야 한다.
트렐릭스는 이러한 고도화된 위협에 대한 대응책으로 제로 트러스트(Zero Trust) 보안 모델의 도입을 가장 중요하게 강조하다. 제로 트러스트는 절대 신뢰하지 않고 모든 접근을 검증한다는 원칙을 기반으로, 네트워크 내부 사용자라 할지라도 기본적으로 잠재적 위협으로 간주하고 모든 접근 시도를 철저히 확인하는 방식이다. 이는 최근 정부 기관과 대기업에서 차세대 보안 표준으로 자리 잡고 있다.
또한, SOC(Security Operations Center)와 IT 위협 인텔리전스 팀 간의 협력을 획기적으로 강화해야 한다고 조언한다. 악성 코드 없이 정상 네트워크 활동으로 위장하는 LOTL 공격을 조기에 탐지하기 위해서는, 미세하고 불규칙적인 이상 징후를 식별하고 이를 분석하는 종합적인 협력 체계가 필수적이다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}
