북한 정찰총국 산하 해킹조직인 라자루스 그룹이 국내 주요 가상자산 거래소를 노린 정황이 포착되면서, 북한의 사이버 공격 수법과 그 위협 수준에 대한 경각심이 다시 커지고 있다. 북한 해커들은 다양한 기술적 방법과 심리적 유인책을 결합해 금융, 정보기술, 인권 단체 등 다방면에 걸쳐 공격 범위를 확장하고 있는 것으로 드러났다.

보안기업 안랩이 11월 30일 발표한 '2025년 사이버 위협 동향과 2026년 전망' 보고서에 따르면, 북한 해킹조직은 최근 1년간 고도화된 지능형 지속 공격(APT)을 86건이나 벌인 것으로 나타났다. 이러한 공격들은 대개 국가의 지원을 받으며 장기간에 걸쳐 목표를 정밀하게 노리는 성격을 띠고 있어, 피해가 발생했을 때의 여파가 크다는 점에서 우려를 낳고 있다.

라자루스 그룹은 특히 가상자산을 노리는 공격을 주도해왔다. 이들은 리눅스와 맥 운영체제를 동시에 겨냥할 수 있는 멀티 플랫폼 악성코드를 제작해, 키보드 입력 기록, 클립보드 감시, 암호화폐 지갑 정보를 수집하는 기능을 탑재했다. 또한 ‘공급망 공격’과 ‘워터링 홀 기법’ 같은 정밀 수법을 활용해, 한국의 정보기술과 반도체 분야 주요 기업들을 대상으로 악성코드를 유포한 사례도 보고됐다.

북한의 또 다른 해킹조직인 김수키와 안다리엘 그룹도 다양한 방식으로 활동 중이다. 김수키는 이메일 피싱을 위주로 활동하며, 강연 요청이나 인터뷰 제안을 가장해 악성코드가 담긴 파일을 퍼뜨렸다. 특히, 러시아 도메인이나 한글 이메일 주소를 이용해 국내 사용자의 경계심을 누그러뜨리는 사회공학적 전략을 자주 활용한다. 안다리엘은 문서 관리 솔루션 등을 겨냥해 인증서 탈취와 랜섬웨어 유포를 시도했으며, 일부 보안 기업의 디지털 인증서를 훔쳐 악성코드에 정식 서명을 덧붙이는 수법까지 동원한 것이 확인됐다.

이 외에도 북한과 연계된 것으로 추정되는 '코니', 'TA-레드앤트' 같은 그룹들은 탈북자, 북한 인권 관련 전문가 등을 정조준하고 있다. 이들은 인권단체나 정부기관을 사칭한 스피어피싱 이메일, 사회공학 기법, 인공지능(AI)을 활용한 신분 사칭 등으로 피해자를 속이고 있으며, JPEG 이미지 내부에 악성코드를 숨기는 등 진화한 기술을 적극 구사하고 있다.

이처럼 북한 해킹조직의 활동은 점점 정교해지고 다변화되고 있다. 보안 전문가는 이들의 목적이 단순 금전 탈취를 넘어 국가 안보와 정보 교란에까지 이를 수 있다며, 국제 사회 전체가 공동으로 대응하지 않으면 문제는 더욱 심각해질 가능성이 크다고 경고하고 있다. 향후 북한의 해킹 기술이 인공지능, 클라우드 등 신기술과 결합하면서 피해 양상 또한 한층 복잡해질 것으로 전망된다.