디지털 전장에서 국경은 안전망이 되지 못한다. 오늘날 북한의 사이버 공격은 디지털 금융 시스템 등 전방위적으로 확장되고 있다. 디지털 의존도가 높은 한국에게 그 위협은 현실적이다. <더팩트>는 사이버 안보가 국가 생존과 직결된 시대, 북한의 사이버 공격이 어디까지 진화했는지, 한국의 현재 대응 수준과 나아가야 할 방향을 함께 들여다봤다. <편집자 주>
[더팩트ㅣ정소영 기자] 북한이 고도화된 침투 기법과 수익형 사이버 범죄 모델을 동시에 활용하며 사이버 공격 기술을 빠르게 진화시키고 있어 우려가 제기된다.
최근 보안업계와 관련 연구기관들에 따르면 북한은 기존의 악성코드 중심 공격에서 벗어난 이른바 '리빙 오프 더 랜드'LOTL) 기법을 활용하고 있다. LOTL 기법은 별도의 악성 소프트웨어를 설치하지 않고 해커가 공격 대상 시스템에 들어가 탑재된 관리 도구, 유틸리티 등을 활용해 사이버 공격을 수행하는 방식이다.
북한의 기존 해킹이 악성코드를 심어 침투하는 구조였다면, LOTL 기법은 정상 프로그램을 악용하기 때문에 공격 흔적을 거의 남기지 않고 보안 탐지를 우회할 수 있다는 점에서 은밀한 수법으로 평가된다.
북한 해커는 LOTL 기법을 통해 공격 대상 네트워크 내부에 장기간 머무르며 정보를 수집할 수 있다. 보안업계는 사용자가 내부 시스템이 침해된 사실을 인지하기 어렵다는 점에서 해당 기법이 사이버 첩보 활동과 기반시설 교란 등 다양한 목적에 활용될 수 있다고 보고 있다. 공격 대상 입장에서는 침입 사실을 인지하기까지 상당한 시간이 소요돼 피해 규모가 확대될 위험이 크다는 지적도 나온다.
이 같은 흐름은 마이크로소프트(MS)가 최근 공개한 '디지털 방어 보고서 2025'에서도 확인된다. MS는 북한 해킹 조직이 지난해 LOTL 기법을 핵심 기술 중 하나로 적극 활용하고 있으며, 이를 통해 보안 탐지를 우회하고 장기 침투를 시도하고 있다고 분석했다.
한국개발연구원(KDI)이 발간한 '북한경제리뷰 2025년 10월호'에서도 북한의 사이버 공격이 기존 악성코드 중심에서 정상 시스템 악용 방식으로 진화하고 있다는 점을 지적한 바 있다.
북한 해킹 수법이 직접 실행형에서 '서비스형 랜섬웨어'(RaaS)로 진화하고 있다는 분석도 있다.
RaaS는 해커가 만든 랜섬웨어 프로그램과 인프라를 구독·수수료 형태로 제공해 기술 지식이 없는 공격자가 쉽게 암호화 공격을 실행할 수 있게 하는 사이버 범죄 비즈니스 모델이다. 즉, 랜섬웨어를 일종의 '범죄용 소프트웨어 상품'처럼 제공하는 것이다.
MS는 보고서에서 북한이 지난해 처음으로 RaaS에 가담한 정황을 포착했다고 밝혔다.
보안업계 관계자는 "실제 전 세계 랜섬웨어 공격이 범죄 집단에 의해 이뤄지고 있다"며 "북한은 이 시장에 공급자로 참여해 사이버 범죄 생태계의 핵심 축으로 자리한 것으로 보인다"고 언급했다.
여기에 최근 북한의 공격 대상이 기업과 기관 내부 시스템을 넘어 개인 사용자의 모바일 환경까지 확대되고 있는 것으로 나타났다.
미국 연방수사국(FBI)은 지난 8일(현지시간) 북한 해킹 조직 '김수키'(Kimsuky)가 QR코드를 활용한 이른바 '퀴싱'(QR코드 피싱) 기법으로 정부 기관, 싱크탱크, 학계 등을 상대로 스피어 피싱 공격을 벌이고 있다고 경고했다.
스피어 피싱은 특정 개인이나 조직을 목표로 하는 피싱 공격이다. 퀴싱 기법은 피해자가 QR코드를 스캔하면 악성 서버로 연결되거나 자격 증명을 탈취하는 가짜 로그인 페이지로 이동하도록 설계된 방식이다.
전문가들은 북한의 사이버 공격이 기술적 고도화와 표적 다변화를 보이고 있어 국가 안보 차원의 위협으로 인식해야 한다고 지적한다.
송태은 국립외교원 국제안보통일연구부 교수는 "최근 한국에 대한 북한 등의 사이버 공격은 한국의 통신사, 데이터가 저장되거나 관리되는 시스템, 법원을 포함한 국가의 공공기관 및 에너지, 교통, 항공, 의료 등 핵심 인프라 및 언론사들을 직접 겨냥하고 있다"며 "단순히 정보 탈취 뿐 아니라 전시나 위기 시 국가 기능을 마비시키기 위한 지점을 탐색하고 시험해보는 목적을 가진 것으로 읽혀지고 있어 우리의 공세적 방어 정책의 실천과 역량 구비가 시급하다"고 강조했다.
upjsy@tf.co.kr