北 해킹조직 라자루스, 오픈소스 통해 글로벌 개발 생태계 침투

북한 정부의 지원을 받는 해킹 조직 라자루스가 오픈소스 생태계를 무력화하는 새로운 방식의 사이버 첩보 전략을 가동해 글로벌 보안업계에 경고음을 울리고 있다. 소프트웨어 공급망 보안 기업 소나타입(Sonatype)에 따르면, 라자루스는 올해 1월부터 7월까지 전 세계에서 3만6,000명 이상의 개발자에게 악성 소프트웨어를 배포하려 시도하며 총 234개의 악성 오픈소스 패키지를 등록한 것으로 확인됐다.

라자루스는 과거 2014년 소니 해킹 사건, 2017년 워너크라이 랜섬웨어 공격 등으로 악명을 떨친 해킹 조직이다. 그러나 최근 몇 년간 전략을 바꾸며 개발 환경과 배포 경로에 침투해 백도어를 심는 지능적 방식으로 진화해왔다. 기존 금융 기관을 직접 노리던 방식에서 벗어나, 이제는 개발 도구로 널리 사용되는 npm과 PyPI 같은 오픈소스 저장소를 공격의 매개체로 삼고 있다.

라자루스가 활용한 공격 방식은 특히 정교하다. 예를 들어, npm 저장소에 올라온 'vite-postcss-helper'라는 악성 패키지는 다단계 공격 체인을 탑재하고 있다. 첫 단계는 명령-제어(C2) 서버에 접속해 난독화된 로더를 받아오는 드로퍼로 시작되며, 이후에는 클립보드 정보를 탈취하거나 자격 증명을 수집하는 '비버테일(BeaverTail)', 파일을 외부로 유출시키는 기능, 윈도 전용 키로거 및 스크린샷 툴 등 고도화된 페이로드들이 실행된다. 특히 분석에 따르면 90건 이상의 패키지가 중요한 정보 탈취를 목적으로 설계된 것으로 나타나, 해당 캠페인의 실질 목표가 금전이 아닌 장기적인 침투와 첩보 활동임을 시사한다.

이러한 공격은 오픈소스 생태계의 신뢰를 기반으로 광범위하게 퍼지며, 대부분 자동화된 설치 환경에서는 보안 점검 없이 도입되는 경우가 많아 적발이 어렵다. 악성 패키지는 그 존재가 수개월간 숨겨진 채 개발 환경을 잠식할 수 있으며, 이 과정에서 API 키, 소스코드 접근 정보, 사용자 로그인 정보 등을 수집할 수 있다.

소나타입은 이번 보고서를 통해 사이버 위협의 본질이 변화하고 있다고 경고한다. 이제 국가 주도의 해커 그룹은 종전처럼 외부에서 직접 공격하지 않고, 소프트웨어 개발 생애 주기에 내재해 훨씬 은밀하고 장기적인 접근을 시도하고 있다.

이에 따라 보안 담당 부서와 데브섹옵스(DevSecOps) 팀은 반드시 다층 보안 체계를 도입하고, 저장소 방화벽을 구축해 의심스러운 패키지가 빌드 시스템까지 도달하지 못하도록 차단할 필요가 있다고 보고서는 강조한다. 또한 설치 이후에 발생하는 쉘 명령 실행이나 외부 스크립트 호출 등 비정상적인 행위에 대한 모니터링을 권장하고 있다.

라자루스의 이번 움직임은 오픈소스 생태계에 대한 신뢰에 새로운 긴장감을 불어넣고 있으며, 국가 차원의 사이버 첩보전에 대응하기 위한 글로벌 개발 커뮤니티의 경계와 협력이 어느 때보다 긴요해졌다.