국내 가상자산 거래소 업비트 해킹 사건의 배후로 지목된 북한 정찰총국 산하 해킹 조직 ‘라자루스’가 최근 1년간 적어도 31건의 해킹 공격을 감행한 것으로 드러났다. 고도의 기술로 무장한 북한 해킹 조직들은 빠르게 활동 범위를 넓혀가며 전 세계 안보·금융·통신 등을 위협하고 있다.

30일 안랩 보고서 ‘2025년 사이버 위협 동향 및 2026년 보안 전망’을 보면, 지난해 10월부터 지난 9월까지 라자루스는 31건의 지능형 지속 공격(APT)을 했다.

또 다른 북한 해킹 조직인 김수키와 TA-레드앤트는 각각 27건, 17건으로 뒤를 이었다.

APT 공격은 짧게 ‘치고 빠지는’ 일반 해킹과 달리 특정 국가나 기업·기관을 목표로 긴 시간 은밀히 침투해 정보 탈취·파괴를 수행하는 해킹 공격 또는 그 조직을 가리킨다.

파악된 북한 해킹 그룹의 APT 공격은 86건으로 같은 기간 러시아(27건), 중국·인도(18건), 파키스탄(17건)을 제쳤다. 그러나 실제 활동 규모는 이보다 클 것으로 보인다. 안랩 측은 “은밀하게 활동하는 APT 그룹들은 관련 정보가 확인되지 않는 경우가 있으며, 정부 기관에 대한 공격은 정책적으로 공개하지 않기도 한다”고 설명했다.

북한 해킹 조직은 전 세계 정치와 외교, 금융, 가상자산 등을 대상으로 금전적 이익과 정보 수집을 노리고 있다. 강연 의뢰서나 인터뷰 요청을 위장해 악성코드를 유포하는 스피어 피싱(김수키)부터 맥 운영체제(OS)·리눅스까지 지원하는 멀티 플랫폼 악성코드 개발(라자루스), 다중 인증 우회(TA-레드앤트) 등 다양하고 고도화된 기법을 동원하는 것이 특징이라고 보고서는 분석했다. 북한에는 이 밖에도 안다리엘, 코니 등 다양한 해킹 조직이 있는 것으로 알려져 있다.

보고서는 “한국은 2025년 아시아에서 집중적인 사이버 공격을 받은 국가 중 하나”라면서 높은 정보기술(IT) 의존도와 가상자산 이용률, 낮은 보안 투자 비율, 랜섬웨어(시스템을 잠그거나 데이터를 암호화한 뒤 금전을 요구하는 것) 협상 비용 지불 등을 취약점으로 꼽았다.

북한 해킹 그룹으로선 언어 장벽이 없어 상대적으로 공격이 쉽고, 정치·외교·안보 측면에서도 높은 가치의 정보 탈취에 유리하다.

안랩은 특히 국가 배후 APT와 민간 랜섬웨어 생태계의 융합을 올해 특징으로 꼽았다. APT의 고도화된 침투 기술과 랜섬웨어의 경계가 흐릿해졌다는 것이다.

보고서는 “해킹 그룹의 고도화된 침투 기술과 서비스형 랜섬웨어 메커니즘이 결합하면 공격 성공률이 높아지고 피해 규모가 더욱 확대될 수 있다”며 “방어자 분석은 어려워지고, 국제사회의 제재국들이 체계적인 수익원으로 활용할 위험도 커진다”고 경고했다.

업비트 운영사인 두나무는 지난 27일 업비트에서 445억원 규모의 해킹 사고가 발생했다고 밝힌 바 있다. 이번 해킹 사고로 현재 가상자산 시가총액 6위인 솔라나를 비롯해 오피셜트럼프 등 24개 가상자산이 총 165개의 각기 다른 주소로 유출됐다.