[정보통신신문=박남수기자]
엔에스에이치씨(대표 최병규, 이하 NSHC)가 24일부터 25일까지 말레이시아 쿠알라 룸푸르 AICB Centre of Excellence에서 진행되는 NanoSec 2025 보안 컨퍼런스에서 북한 정부가 지원하는 해킹 조직 라자루스(Lazarus) 그룹의 최신 사이버 공격 작전을 분석한 내용을 공개했다고 밝혔다.
NanoSec 2025 컨퍼런스는 말레이시아 보안기술 전문조직 NanoSec Asia가 주최하는 아시아 지역 최대 규모의 사이버 보안 컨퍼런스로, 전 세계 보안 전문가와 위협 인텔리전스 연구자들이 최신 위협 사례와 방어 기술을 공유하는 자리이다. 올해 행사는 “Parallel Pulse: Advancing Defensive Intelligence”라는 주제로 개최됐다. NSHC는 아시아를 대표하는 보안 전문 기업 중 하나로 초청돼 북한의 국가 주도 해킹 그룹 활동 분석을 주제로 발표를 진행했다.
이번 발표는 NSHC의 위협 분석 전문 조직인 위협분석 연구소(Threat Research Lab)에서 2025년 5월에 포착한 가짜 암호화폐 거래 애플리케이션을 이용한 해킹 캠페인에 대한 분석을 다루었다.
공격자는 겉보기에는 정상적인 거래 프로그램처럼 보이지만, 실제로는 악성코드가 숨겨진 설치 파일을 사용했다. 이 프로그램은 NSIS(Nullsoft Scriptable Install System) 기술을 이용해 사용자의 컴퓨터에 설치되며, 내부에는 Electron 프레임워크로 만들어진 앱과 JavaScript 로더가 포함돼 있었다. 이 로더는 추가적인 악성코드를 다운로드해 실행하도록 설계돼 있으며, 다음 단계에서는 Python 기반 모듈이 컴퓨터 제어와 정보 탈취를 수행했다. 마지막 단계에서는 “.NET 기반 백도어 프로그램 ‘Tsunami’”가 설치돼 공격자가 원격으로 시스템을 제어하고, 장기적으로 침투를 유지할 수 있도록 했다.
특히 이번 공격의 특징은 정상 프로그램과 합법적인 서비스를 교묘히 악용한 점이다. Tsunami는 Pastebin이라는 온라인 메모 서비스를 이용해 암호화된 명령과 파일을 전달했으며, Tor 네트워크를 이용해 공격자의 위치를 숨기고 통신 경로를 은폐했다. 또한, 원격제어 프로그램인 AnyDesk를 악용해 보안 솔루션의 탐지를 피하고 지속적인 접속을 유지했다. 이러한 방식은 외형상 합법적인 소프트웨어처럼 보이기 때문에 일반 사용자나 기업 보안시스템이 쉽게 구분하기 어렵다.
이번 해킹 캠페인이 2023년과 2024년에 발견된 라자루스의 가상자산 공격과 유사한 전술을 기반으로 한 진화된 형태라고 분석했다. 단순히 암호화폐를 훔치는 데 그치지 않고, 공격 구조가 훨씬 정교해져 정보 수집이나 장기적인 스파이 활동으로 이어질 가능성도 높다는 설명이다. 특히 ‘Tsunami’ 백도어는 필요에 따라 기능을 바꿀 수 있는 모듈형 구조로 설계돼 있어, 향후 다른 목적의 공격으로 확장될 위험이 있다.
최병규 NSHC 대표는 “라자루스 그룹은 단순한 금전 탈취를 넘어선 장기적인 사이버 작전 능력을 갖춘 위협 세력”이라며, “가상자산 산업은 국가 차원의 해킹 공격 대상이 되고 있는 만큼, 국제 보안 커뮤니티 간 협력과 위협 정보 공유가 그 어느 때보다 중요하다”고 말했다.
NSHC는 2003년 설립 이후 위협 인텔리전스, 악성코드 분석, 보안 컨설팅 등 다양한 서비스를 제공하며, ThreatRecon 플랫폼을 통해 전 세계 사이버 위협을 분석하고 대응 전략을 연구하고 있다. 이번 발표를 통해 NSHC는 북한의 사이버 활동이 글로벌 보안에 미치는 영향을 알리고, 국제적 대응의 필요성을 강조했다.
