안랩 '2025 사이버 위협 동향'
라자루스 31건·김수키 27건 공격
AI 기반·공급망·국가 인프라 공격 전망
"신속 복구 위해 사이버 회복력 강화 필수"

28일 서울 한 지하철역에 설치된 업비트 광고. 연합뉴스

<이미지를 클릭하시면 크게 보실 수 있습니다>

국내 최대 가상자산 거래소 업비트에서 445억 원 규모의 해킹 사고가 발생한 배후로 북한 정찰총국 산하 해킹 조직 라자루스가 유력하게 지목되는 가운데 지난 1년간 북한의 사이버 공세가 한국을 정조준하고 있다는 분석이 나왔다. 내년에는 인공지능(AI)·가상자산·국가 인프라를 겨냥한 더욱 정교한 공격이 이어질 것이라는 경고도 제기됐다.

30일 보안업계에 따르면 안랩은 최근 '2025년 사이버 위협 동향 & 2026년 보안 전망' 보고서를 발표했다. 보고서는 최근 1년(2024년 10월~2025년 9월)간 공개된 주요 지능형 지속 공격(APT, 특정 타깃을 장기간에 걸쳐 고도화된 기술로 은밀하게 숨어 기밀 탈취·파괴를 시도)에 대해 "북한 APT 그룹들의 활동이 활발했다"며 국가별 활동 건수는 북한이 86건으로 최다였다고 밝혔다. 이어 중국이 27건, 러시아와 인도가 각 18건이었다.

북한 APT 그룹의 활동 중 라자루스는 31건, 김수키는 27건으로 나타났다. 보고서는 "은밀하게 활동하는 APT 그룹들은 관련 정보가 확인되지 않는 경우도 있으며, 정부 기관에 대한 공격은 정책적으로 공개하지 않기도 한다"고 지적했다. 실제 공격 건수는 이보다 더 많을 수 있다는 것이다.

북한 APT 조직은 정치·외교·금융·가상자산 등 다양한 산업을 표적으로 삼아 금전적 이익과 정보 수집을 노린다고 안랩은 분석했다. 라자루스는 최근 가상자산과 금융권, IT 기업, 국방 분야를 주요 대상으로 삼아, 맥OS·리눅스를 아우르는 멀티 플랫폼 악성코드를 다수 개발한 것으로 분석됐다. 이들 악성코드에는 클립보드 감시, 암호화폐 지갑 주소 및 지갑 정보 탈취 기능 등이 포함돼 있다.

북한 정찰총국 산하 또 다른 해킹그룹인 김수키는 강연 의뢰서, 인터뷰 요청 메일 등으로 가장한 악성 파일을 보내거나, 러시아 도메인(mail.ru)과 한글 무료 도메인을 이용해 발신지를 숨기는 수법이 반복적으로 포착됐다. 디스크 이미지 파일(.ISO)과 한글(.HWP) 문서를 악용한 공격도 빈번한 것으로 파악돼, 일상적인 업무 문서가 감염 통로로 악용되는 양상이다.

"철도·해상·항공·통신망 등으로 공격 확대될 수도"

2026년 5대 사이버 보안 위협 전망. 안랩 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

안랩은 2026년 주목해야 할 위협으로 △AI 기반 공격의 전방위 확산 △랜섬웨어 공격 및 피해 심화 △오픈소스 생태계를 이용한 공급망 공격 △국가 핵심 인프라 위협 확대 △리눅스 위협 증가를 제시했다. 안랩은 생성형 AI를 활용한 자연스러운 사회공학 공격은 이미 현실화됐고 내년에는 사용 환경을 실시간 분석해 맞춤 악성코드를 자동 생성·실행하는 '적응형 공격'까지 등장할 수 있다고 전망했다.

국가 핵심 인프라를 겨냥한 공격도 의료·제조·에너지에서 철도·해상·항공·통신망 등으로 확산될 가능성이 높은 것으로 분석됐다. 안랩은 "국가 기반 시설 공격 발생 시 신속한 복구를 위해 백업 체계, 복구 프로세스, 모의 훈련 등 사이버 회복력 강화가 필수적"이라고 짚었다.

김진욱 기자 kimjinuk@hankookilbo.com