로그프레소, 북한 연계 4대 공격 그룹 캠페인 심층 분석
C2 서버와 주기적 통신하며 기회 포착...공공·금융·에너지 등 핵심 산업군 정조준

[보안뉴스 조재호 기자] 지난해 북한 연계 해킹 조직들은 금융위원회나 보안기관을 사칭해 ‘신뢰’를 파고든 지능적인 공격을 감행했으며, 악성코드를 필요한 시점에만 투입하는 치밀함을 보인 것으로 분석됐다.


▲2025년 주요 북한 연계 공격 캠페인 타임라인 [출처: 로그프레소]

로그프레소는 지난 한 해 동안 발생한 북한 연계 사이버 공격을 심층 분석한 ‘2025 북한 연계 APT 공격 분석 회고’ 보고서를 15일 발행했다.

이번 보고서는 라자루스(Lazarus), 김수키(Kimsuky), APT37, 코니(Konni) 등 북한과 연계된 주요 4개 공격 그룹의 실제 캠페인 사례와 기술적 특징을 분석하고, 공공·금융·기업을 겨냥한 위협의 구조적 변화를 담았다.

‘신뢰’를 노린 공격... 금융당국·보안기관 사칭 활개
보고서에 따르면 2025년 북한 연계 사이버 공격의 가장 큰 특징은 단순 침투를 넘어선 ‘지능화’와 ‘장기화’다. 공격자들은 악성코드를 감염 즉시 실행하지 않고, C2(명령 제어) 서버와 주기적으로 통신하며 필요한 시점에만 공격 모듈을 내려보내는 방식으로 보안 탐지를 회피했다.

또, 국방·북한 연구기관부터 금융위원회, 금융감독원, 카드사, 보안기관, 글로벌 IT 기업 등을 사칭한 정교한 문서와 파일을 적극 활용했다.

로그프레소 측은 “이러한 방식은 조직 내부의 보안 인식과 업무 프로세스를 직접 노리는 ‘신뢰 기반 공격’”이라며 “기업의 중요 정보 유출이 경영 리스크로 직결될 수 있어 각별한 주의가 필요하다”고 지적했다.


▲북한 연계 APT 공격에 사용된 주요 C2 도메인 분포 [출처: 로그프레소]

자동화된 다단계 침투... 보안 전략의 ‘전환’ 필요
기술적으로도 고도화됐다. 지난해 공격 사례에서는 자동화된 다단계 공격 구조와 운영 체제(OS)별 맞춤형 침투 방식이 공통적으로 나타났다. 공격자는 특정 산업과 조직을 장기간 관찰한 뒤 실제 대상을 선별하는 치밀함을 보였으며, 정상 시스템 도구를 악용해 흔적을 지우는 등 탐지 회피 전략을 강화했다.

양봉열 로그프레소 대표는 “사이버 공격이 더 이상 IT 부서만의 문제가 아니라, 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크 요인으로 자리 잡았다”며 “특히 금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 규제 리스크로까지 확산될 수 있는 만큼 선제적인 대응이 필요하다”고 말했다.

한편, 로그프레소는 현재 2,096억 건 이상의 누적 침해 지표(IoC)와 5,257억 건 이상의 프라이버시 인텔리전스(PI) 정보를 보유하고 있으며, 이를 자사 SIEM 및 SOAR 솔루션과 연동해 실시간 위협 대응을 지원하고 있다.



[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>