Paradigm: 북한 해커 그룹 라자루스 그룹(Lazarus Group)의 위협을 벗기다

라자러스 그룹(Lazarus Group)은 북한 정부와 연계된 사이버 범죄 조직으로, 암호화폐 거래소 및 금융 기관을 대상으로 한 대규모 해킹 공격으로 잘 알려져 있다. 최근 비트파이(Bybit)의 보안 침해 사건에서도 이들의 개입 가능성이 제기되고 있으며, 조직 구조, 공격 수법, 방어 전략 측면에서 라자러스 그룹을 분석해보면 다음과 같다. ### 1. 조직 구조 (Organizational Structure) 라자러스 그룹은 소위 '재무부 산하 국방개발국'(Bureau 121) 또는 '제25호 연구소'로 불리는 북한 정부 산하 사이버 부대로 추정된다. 이 조직은 평양 중심부에 위치한 시설에서 운영되며, 엘리트 해커들로 구성되어 있다. 주요 자금 조달 수단으로 암호화폐 탈취를 활용하며, 이를 통해 북한 정권의 제재 회피 및 핵무기 프로그램 자금 확보에 기여하고 있다. - **계층적 구조**: 고위 간부가 지휘하고, 개발팀, 침투팀, 정보수집팀 등 역할이 명확히 분업됨. - **지리적 분산**: 일부 요원은 중국, 동남아시아, 중동 등지에 파견되어 원격으로 활동함. - **자금 세탁 네트워크**: 탈취한 암호화폐는 복잡한 리더블 체인, 믹서 서비스(예: Tornado Cash), P2E 게임, NFT 마켓 등을 통해 자금을 은닉. --- ### 2. 공격 수법 (Attack Tactics) 라자러스 그룹은 고도로 정교한 지능형 지속 위협(APT) 방식을 사용하며, 주로 아래와 같은 공격 기법을 활용한다. #### a. 피싱 및 소셜 엔지니어링 - 직원 대상 피싱 이메일을 통해 내부 시스템 접근 권한 획득. - 가짜 채용 포털이나 개발자 커뮤니티를 통해 악성코드 유포. #### b. 악성코드 배포 - **다양한 악성 툴킷 사용**: AppleJeus, Bankshot, BadCall 등 자체 개발 악성코드. - **의심스러운 앱 또는 확장 프로그램을 통한 백도어 설치**. #### c. 스마트 계약 및 DeFi 타깃 공격 - 취약한 스마트 계약을 분석해 리엔트런트 공격, 함수 오버플로우 등을 시도. - 크로스체인 브릿지의 보안 결함을 악용 (예: 2022년 하모니 브릿지 해킹). #### d. 인프라 침투 - DNS 스푸핑, 서버 인증서 탈취, CI/CD 파이프라인 감염 등을 통해 개발 환경 침투. - Bybit 사례에서는 내부 인프라나 3자 공급망(Supply Chain)을 경유한 침투 가능성도 존재. #### e. 크로스체인 자금 이동 - 탈취한 자금을 여러 블록체인으로 분산 이동 (예: 이더리움 → BSC → 폴리곤). - 자금 세탁을 위해 다수의 믹서 및 디앱(DApp) 활용. --- ### 3. 방어 전략 (Defense Strategies) 라자러스 그룹의 공격은 지속적이고 진화하기 때문에, 단순한 방화벽이나 바이러스 백신만으로는 대응 불가능하다. 종합적인 보안 전략이 필요하다. #### a. 내부 보안 강화 - **제로 트러스트 아키텍처**(Zero Trust Architecture) 도입: 모든 접근 요청을 검증. - **MFA**(Multi-Factor Authentication) 및 생체 인증 의무화. - 정기적인 보안 교육을 통한 피싱 대응 능력 제고. #### b. 코드 및 인프라 감사 - 스마트 계약 및 백엔드 시스템에 대한 정기적인 보안 감사 수행. - 오픈소스 및 서드파티 라이브러리의 취약점 모니터링 (예: SCA 툴 활용). #### c. 이상 행위 탐지 시스템 - AI 기반 이상 거래 탐지(Anomaly Detection) 시스템 도입. - 실시간 로그 모니터링 및 SIEM(Security Information and Event Management) 활용. #### d. 자금 흐름 추적 및 협업 - 체인 분석 도구 (예: Chainalysis, TRM Labs, Elliptic)를 활용한 자금 흐름 추적. - 글로벌 보안 기관(Interpol, FBI, KISA 등)과의 정보 공유 및 협업 강화. #### e. 공급망 보안 관리 - 제3자 개발자, 외주 업체에 대한 보안 평가 및 접근 권한 최소화. - CI/CD 파이프라인에 보안 게이트 삽입. --- ### 결론 라자러스 그룹은 단순한 해커 집단을 넘어 국가 차원의 사이버 무기로 작동하고 있으며, Bybit를 포함한 주요 암호화폐 플랫폼은 지속적인 표적이 될 수밖에 없다. 이에 대응하기 위해서는 기술적 방어뿐 아니라, 국제적 협력, 지속적인 모니터링, 그리고 보안 문화 정착이 필수적이다. 특히 암호화폐 산업은 탈중앙화라는 특성상 신속한 대응과 투명한 커뮤니케이션이 중요하며, 과거의 사고 사례에서 배운 교훈을 기반으로 선제적 보안 전략을 수립해야 한다.

글: samczsun, 패러다임 리서치 펠로우

번역: Bright, Foresight News

2월 어느 아침, SEAL 911 그룹의 경고등이 켜졌다. 우리는 바이빗(Bybit)이 냉지갑에서 10억 달러가 넘는 토큰을 새 주소로 옮기고, 금세 2억 달러 이상의 LST를 정리매도하는 모습을 당황하며 지켜보았다. 몇 분 안에 바이빗 팀과 독립 분석(멀티시그니처는 이전에 공개 검증된 Safe Wallet 구현체를 사용했지만, 이제는 검증되지 않은 새로 배포된 계약을 사용함)을 통해 이것이 일상적인 유지보수가 아니라는 사실을 확인했다. 누군가 암호화폐 역사상 최대 규모의 해킹을 실행한 것이었고, 우리는 바로 그 역사적 사건의 맨 앞줄에 앉아 있었다.

팀의 일부 멤버들(그리고 더 넓은 수사 커뮤니티)이 자금 추적 및 협력 거래소에 통보를 시작하는 동안, 다른 팀원들은 정확히 무슨 일이 발생했는지, 그리고 다른 자금들도 위험에 처해 있는지 파악하려고 노력하고 있었다. 운 좋게도 범인을 식별하는 것은 쉬웠다. 지난 몇 년간 수십억 달러 규모의 암호화폐 거래소를 성공적으로 해킹한 유일한 알려진 위협 행위자는 북한, 즉 DPRK였다.

하지만 이 외에는 거의 단서가 없었다. 북한 해커들이 교묘하고 은신 능력이 매우 뛰어나기 때문에 침입의 근본 원인을 파악하기 어려울 뿐 아니라, 정확히 북한 내 어떤 특정 팀이 책임을 져야 하는지도 알기 어렵다. 우리가 의지할 수 있었던 유일한 정보는 북한이 사회공학을 통해 암호화폐 거래소를 침투하는 것을 좋아한다는 기존의 첩보였다. 따라서 우리는 북한이 바이빗의 멀티시그니처 서명자들을 해킹한 후, 서명 프로세스를 방해할 악성 소프트웨어를 배포했을 가능성이 크다고 추측했다.

결과적으로 이 추측은 완전히 잘못되었다. 며칠 후 우리는 북한이 실제로 Safe Wallet 자체 인프라를 무너뜨렸으며, 바이빗을 특별히 겨냥한 악성 오버로드를 배포했다는 사실을 알게 되었다. 이러한 복잡성은 누구도 예상하거나 준비하지 못한 수준으로, 시장의 많은 보안 모델들에게 중대한 도전이 되었다.

북한 해커들은 우리 산업에 점점 더 심각한 위협이 되고 있으며, 우리가 이해하지 못하거나 알지 못하는 적을 물리칠 수 없다. 북한 사이버 작전에 관한 다양한 문서화된 사례와 글들이 많이 있지만, 이를 종합하기는 어렵다. 본 개요를 통해 북한의 운영 방식과 전략·절차에 대해 보다 포괄적인 이해를 제공하고, 올바른 완화 조치를 시행하기 쉽게 만들고자 한다.

조직 구조

가장 큰 오해 중 하나는 북한의 광범위한 사이버 활동을 어떻게 분류하고 명명할 것인지이다. 구어체에서 "Lazarus Group"이라는 용어를 일반적으로 사용하는 것은 허용되지만, 북한의 체계적인 사이버 위협을 상세히 논의할 때는 더 엄격한 표현을 사용하는 것이 도움이 된다.

먼저 북한의 '조직도'를 이해하는 것이 좋다. 북한 최고 권력 기관은 북한 노동당(WPK)으로, 모든 정부 기관은 이 당의 지휘를 받는다. 여기에는 인민군(KPA)과 중앙위원회가 포함된다. 인민군 내에는 총참모부(GSD)가 있고, 그 아래에 정보국(RGB)이 위치한다. 중앙위원회 산하에는 군수공업부(MID)가 있다.

RGB는 북한의 거의 모든 사이버 전쟁 활동을 담당하며, 암호화폐 산업에서 관찰된 북한의 활동 대부분도 이 조직이 주도한다. 악명 높은 라자루스 그룹(Lazarus Group) 외에도 RGB 산하에서 활동하는 위협 행위자로는 AppleJeus, APT38, DangerousPassword, TraderTraitor 등이 있다. 반면 MID는 북한의 핵미사일 프로그램을 담당하며, 북한 IT 근로자의 주요 출처로, 정보기관은 이를 Contagious Interview와 Wagemole라고 부른다.

라자루스 그룹 (Lazarus Group)

라자루스 그룹은 고도로 정교한 해커 조직으로, 사이버 보안 전문가들은 역사상 가장 대규모이며 파괴적인 해킹 중 다수를 이 조직의 소행으로 간주한다. 2016년, Novetta가 소니 픽처 엔터테인먼트(Sony) 해킹 사건을 분석하면서 처음으로 라자루스 그룹을 발견했다.

2014년, 소니는 김정은을 모욕하고 암살하는 내용을 다룬 액션 코미디 영화 <인터뷰> 제작 중이었다. 이는 북한 정권에게 결코 환영받을 수 없는 일이었고, 북한은 소니 네트워크에 침투해 수TB의 데이터를 훔치고, 수백GB의 기밀 또는 민감 정보를 유출한 후 원본 파일을 삭제하며 보복했다. 당시 CEO 마이클 린턴의 말처럼, "이 일을 한 사람은 집 안의 모든 것을 훔쳐갔을 뿐 아니라 집까지 불태웠다." 결국 소니는 이번 공격으로 인한 조사 및 복구 비용만 최소 1500만 달러를 지출했으며, 실제 손실은 더 컸을 것으로 추정된다.

이후 2016년, 라자루스 그룹과 매우 유사한 해커가 방글라데시 은행을 해킹해 거의 10억 달러를 훔치려 했다. 1년 동안 해커들은 방글라데시 은행 직원들을 대상으로 사회공학 공격을 수행했고, 마침내 원격 접속 권한을 얻어 은행 내부 네트워크를 이동하여 SWIFT 네트워크와 연결된 컴퓨터에 접근했다. 이후 그들은 최적의 공격 타이밍을 기다렸다. 방글라데시 현지 시간 목요일 밤, 위협 행위자는 SWIFT 네트워크 접근 권한을 이용해 뉴욕 연방은행에 36건의 개별 송금 요청을 보냈다(뉴욕 현지 시간은 목요일 오전). 이후 24시간 동안 뉴욕 연방은행은 이 송금 요청을 필리핀 리살 상업은행(RCBC)으로 전달했고, RCBC는 처리를 시작했다. 방글라데시 은행이 영업을 재개했을 때 해킹을 발견하고 RCBC에 거래 중단을 요청했지만, RCBC는 설날 연휴로 문을 닫아 있었다.

마지막으로 2017년, 대규모 워너크라이 2.0 랜섬웨어 공격이 전 세계 산업을 초토화했으며, 이 공격의 일부는 라자루스 그룹의 소행으로 여겨졌다. 워너크라이는 수십억 달러의 피해를 입혔으며, NSA가 개발한 마이크로소프트 윈도우 0데이 취약점을 활용해 로컬 장치를 암호화할 뿐 아니라 다른 접근 가능한 장치로 확산되어 전 세계 수십만 대의 장치를 감염시켰다. 다행히 보안 연구원 마커스 허친스가 8시간 만에 종료 스위치를 발견하고 활성화함으로써 피해가 어느 정도 제한되었다.

라자루스 그룹의 발자취를 살펴보면, 그들은 뛰어난 기술력과 실행력을 보여왔으며, 그들의 목표 중 하나는 북한 정권에 수익을 창출하는 것이다. 따라서 그들이 암호화폐 산업에 관심을 갖는 것은 시간문제였다.

파생 조직

시간이 지남에 따라 라자루스 그룹은 언론에서 북한 사이버 활동을 묘사할 때 선호되는 포괄적 명칭이 되었지만, 사이버 보안 업계는 라자루스 그룹 및 북한의 구체적 활동에 대해 더 정확한 명칭을 만들어냈다. APT38은 2016년경 라자루스 그룹에서 분리되어 금융 범죄에 집중했는데, 초기에는 은행(예: 방글라데시 은행)을 공격하다가 이후 암호화폐로 전환했다. 이후 2018년에는 AppleJeus라는 새로운 위협 행위자가 암호화폐 사용자를 겨냥한 악성 소프트웨어를 유포하는 것으로 확인되었다. 마지막으로 2018년 OFAC가 북한인이 사용하는 두 개의 가짜 회사에 대한 제재를 처음 발표했을 때, IT 전문가를 가장한 북한인이 이미 기술 산업에 침투해 있었다.

북한 IT 근로자

OFAC 제재에 의해 북한 IT 근로자가 처음 기록된 것은 2018년이지만, Unit 42의 2023년 보고서는 이를 더욱 상세히 설명하며 두 가지 서로 다른 위협 행위자를 확인했다: Contagious Interview와 Wagemole.

Contagious Interview는 유명 기업의 채용 담당자로 위장해 개발자를 유혹하여 거짓 면접 절차에 참여하게 한다. 이후 지원자는 표면상 코딩 과제로 로컬 디버깅을 위해 저장소를 클론하도록 지시받는데, 이 저장소에는 백도어가 숨겨져 있으며, 실행 시 공격자가 해당 기계의 제어권을 얻게 된다. 이 활동은 계속 진행 중이며, 최근 기록은 2024년 8월 11일이다.

반면 Wagemole 요원의 주요 목적은 잠재적 피해자를 고용하는 것이 아니라, 기업에 고용되어 일반 소프트웨어 엔지니어처럼 일하는 것이다(비록 효율성이 낮을 수 있음). 하지만 기록에 따르면, IT 근로자들이 접근 권한을 이용해 공격을 수행한 사례도 있다. 예를 들어 Munchables 사건에서 북한 활동과 관련된 직원이 스마트 계약에 대한 특권적 접근 권한을 이용해 모든 자산을 훔쳤다.

Wagemole 요원들의 정교함 수준은 다양하며, 획일화된 이력서 템플릿과 비디오 통화를 피하는 경우부터, 고도로 맞춤화된 이력서, 딥페이크 비디오 면접, 운전면허증 및 수도세 청구서 같은 신분 증명서를 제출하는 경우까지 있다. 일부 요원은 피해 조직에 최대 1년 동안 잠복한 후 접근 권한을 이용해 다른 시스템을 침입하거나 완전히 자산을 인출하기도 한다.

애플 제수스(AppleJeus)

AppleJeus는 주로 악성 소프트웨어 유포에 집중하며, 정교한 공급망 공격을 잘 수행한다. 2023년, 3CX 공급망 공격은 3CX VoIP 소프트웨어 사용자 1,200만 명 이상이 감염될 수 있는 가능성을 만들었으나, 이후 3CX 자체도 Trading Technologies라는 상위 공급업체의 공급망 공격을 받아 침투된 것으로 밝혀졌다.

암호화폐 산업에서 AppleJeus는 처음에 합법 소프트웨어(예: 거래 플랫폼 또는 암호화폐 지갑)로 위장한 악성 소프트웨어를 배포하는 방식으로 시작했다. 그러나 시간이 지나면서 전략이 변화했다. 2024년 10월, Radiant Capital은 텔레그램을 통해 신뢰할 수 있는 계약자로 위장한 위협 행위자가 보낸 악성 소프트웨어에 의해 침투당했으며, 맨디언트(Mandiant)는 이를 AppleJeus의 소행으로 평가했다.

다재너스 패스워드(Dangerous Password)

Dangerous Password는 암호화폐 산업을 대상으로 낮은 복잡도의 사회공학 기반 공격을 수행한다. 2019년 JPCERT/CC는 Dangerous Password가 매력적인 첨부 파일이 포함된 피싱 이메일을 보내 사용자가 다운로드하도록 유도한 사례를 기록했다. 그 이전 몇 년간, Dangerous Password는 업계 저명인사로 위장해 "스테이블코인과 암호화 자산은 큰 위험이 있다"는 제목의 피싱 메일을 보냈다.

현재 Dangerous Password는 여전히 피싱 이메일을 보내지만, 다른 플랫폼으로도 확장했다. 예를 들어, Radiant Capital은 텔레그램에서 보안 연구원을 가장한 사람으로부터 'Penpie_Hacking_Analysis_Report.zip'이라는 파일을 배포하는 피싱 메시지를 받았다고 보고했다. 또한 사용자들은 기자나 투자자로 위장한 사람이 눈에 띄지 않는 화상회의 앱으로 통화를 제안하며 연락해오는 사례도 보고하고 있다. 줌(Zoom)처럼 이 앱들은 일회용 설치 프로그램을 다운로드하지만, 실행 시 장치에 악성코드를 설치한다.

트레이더 트레이터(TraderTraitor)

트레이더 트레이터는 암호화폐 산업을 겨냥한 북한의 가장 정교한 해커이며, Axie Infinity와 Rain.com 등의 해킹을 주도했다. 트레이더 트레이터는 대부분 자금이 풍부한 거래소 및 기타 기업을 표적으로 하며, 제로데이 취약점을 사용하지 않고, 대신 고도로 정교한 스피어피싱 기술을 통해 피해자를 공격한다. Axie Infinity 해킹 사건에서 트레이더 트레이터는 링크드인을 통해 고위 엔지니어에게 접근해 일련의 면접을 수락하도록 설득한 후, 악성 소프트웨어를 심은 '제안서'를 전달했다. 이후 와지르엑스(WazirX) 해킹에서는, 트레이더 트레이터 요원이 아직 확인되지 않은 서명 파이프라인의 구성 요소를 침투한 후, 반복적인 입금과 출금을 통해 거래소의 핫월렛을 고갈시켰다. 이로 인해 와지르엑스 엔지니어들이 콜드월렛에서 핫월렛으로 자금을 재분배해야 했고, 자금 이체를 서명하려 할 때, 오히려 콜드월렛의 제어권을 트레이더 트레이터에게 넘기는 트랜잭션에 서명하도록 유도당했다. 이는 2025년 2월 바이빗을 대상으로 한 공격과 매우 유사하다. 당시 트레이더 트레이터는 먼저 사회공학 공격으로 Safe{Wallet} 인프라를 무너뜨린 후, 바이빗 콜드월렛을 특별히 겨냥한 악성 JavaScript를 Safe Wallet 프론트엔드에 배포했다. 바이빗이 지갑을 재분배하려 할 때 악성 코드가 활성화되어, 바이빗 엔지니어들이 콜드월렛의 제어권을 트레이더 트레이터에게 넘기는 트랜잭션에 서명하게 된 것이다.

안전 유지하기

북한은 제로데이 취약점을 사용해 상대를 공격할 능력을 입증했지만, 현재까지 북한이 암호화폐 산업에 제로데이를 사용한 기록이나 알려진 사건은 없다. 따라서 거의 모든 북한 해커 위협에 대해 일반적인 보안 권고사항이 적용된다.

개인의 경우 상식을 적용하고 사회공학 공격에 주의해야 한다. 예를 들어, 누군가 극도로 기밀인 정보를 가지고 있다고 주장하며 당신과 공유하려 한다면, 신중하게 행동해야 한다. 혹은 누군가 특정 소프트웨어를 다운로드하고 실행하도록 시간 압박을 가한다면, 그들이 당신을 논리적 사고가 불가능한 상태로 몰고 가려는 것은 아닌지 고려해야 한다.

조직의 경우, 가능한 한 최소 권한 원칙을 적용해야 한다. 민감한 시스템에 접근할 수 있는 인원 수를 최소화하고, 비밀번호 관리자와 2FA를 사용하도록 해야 한다. 개인 기기와 업무 기기를 분리하고, 업무 기기에 모바일 디바이스 관리(MDM) 및 엔드포인트 탐지 대응(EDR) 소프트웨어를 설치하여 침입 전 보안과 침입 후 가시성을 확보해야 한다.

불행히도 대형 거래소나 고가치 목표물의 경우, 트레이더 트레이터는 제로데이 없이도 예상보다 훨씬 큰 피해를 입힐 수 있다. 따라서 단일 장애 지점이 존재하지 않도록 추가적인 예방 조치를 취해야 하며, 한 번의 침입으로 모든 자금이 손실되는 상황을 방지해야 한다.

하지만 모든 것이 실패하더라도 희망은 남아 있다. 미국 연방수사국(FBI)에는 북한의 침입을 추적하고 방지하는 전담 부서가 있으며, 오랜 기간 피해자 통보를 수행해왔다. 최근 나는 이 부서의 요원들이 잠재적 북한 목표물과 연락을 취하는 것을 도울 수 있어 기뻤다. 따라서 최악의 상황에 대비하기 위해, 공개된 연락처 정보를 확보하거나 생태계 내 충분한 사람들과 연결되어 있어(예: SEAL 911), 소셜 그래프를 따라 메시지가 가장 빠른 속도로 당신에게 도달할 수 있도록 해야 한다.