국내 최대 가상자산 거래소인 업비트에서 발생한 445억 원 규모의 해킹 사건 배후로 북한 정찰총국 산하 해킹 조직 '라자루스'가 지목되면서, 사이버 공격에 대한 경계심이 더욱 높아지고 있다. 최근 1년간 이 조직은 최소 31건의 해킹을 감행한 것으로 파악되며, 업비트 해킹 역시 이들의 기존 수법과 유사한 패턴을 보이는 것으로 분석되고 있다.

이번 분석은 정보보안 기업 안랩이 발표한 '2025년 사이버 위협 동향 및 2026년 보안 전망' 보고서에 기반하고 있다. 보고서에 따르면 라자루스를 포함한 북한계 해킹 조직은 지난 1년간 국가 단위에서 가장 많은 해킹 활동을 벌인 것으로 확인됐다. 북한은 총 86건의 공격 사례로 세계 각국 가운데 가장 활발한 움직임을 보였으며, 중국과 러시아, 인도, 파키스탄이 그 뒤를 이었다.

라자루스를 비롯한 북한 사이버 조직들은 정치, 외교, 금융, 가상자산 등 다양한 분야를 겨냥하고 있다. 특히 가상자산 거래소를 상대로 공격을 집중하는 이유는 국제 제재로 인해 외화 확보가 어려운 북한 입장에서 비교적 수익성이 크고 익명성이 보장되는 가상자산 탈취가 매력적인 수단이기 때문이다. 이들은 스피어 피싱(표적형 이메일 공격), 멀티 플랫폼 악성코드, MFA(다중 인증) 우회 등 고도화된 방식으로 침투하는 것이 일반적이다.

이번 업비트 해킹의 경우, 거래 지갑의 서명 절차가 비정상적으로 조작되고 대규모 자산이 빠르게 외부로 이체되는 방식이 과거 라자루스의 공격사례와 흡사하다는 점에서, 정부는 현재 조직 연계 가능성을 면밀히 분석 중이다. 라자루스는 이미 맥OS와 리눅스를 포괄하는 악성코드를 다수 보유하고 있으며, 이들 프로그램은 가상자산 지갑 주소를 바꾸거나 클립보드를 감시하는 기능을 갖춘 것으로 알려졌다.

한편, 라자루스 외에도 북한의 주요 해킹 조직인 김수키, 코니, 안다리엘 등도 활발히 활동 중이다. 이들은 신분을 위장하거나 사회공학 기법을 활용해 개인이나 기업의 주요 정보를 빼내고 있으며, 최근에는 인공지능(AI)을 활용한 위조 신분증을 사용하는 정황까지 일부 포착됐다. 특히 김수키는 강연 요청서, 인터뷰 제안처럼 위장된 문건을 활용하는 스피어 피싱 방식으로 정보를 탈취한 사례가 반복되고 있다.

이 같은 흐름은 향후 사이버 보안 환경에 몇 가지 중요한 시사점을 던진다. 첫째, 디지털 자산 시장이 확대될수록 북한과 같은 국가단위 해킹 조직의 표적이 될 가능성이 높아진다. 둘째, 기술의 복합성과 정교함이 더해지면서 전통적인 보안 체계만으로는 방어가 어려워지고 있다. 보안 전문가들은 앞으로 정보기술(IT), 금융, 국방 등 핵심 산업에 대한 선제적 보안 강화가 더욱 시급하다고 지적한다.