북한 라자루스 그룹(Lazarus Group) 알아보기

다음은 미국, 캐나다, 영국, 프랑스, EU 등 각국 정부와 첩보·사이버보안 기관에서 발표한 자료 및 공개 보고서를 토대로 정리한 라자루스 그룹(Lazarus Group)에 대한 종합 보고서입니다.

───────────────────────【라자루스 그룹 개요 및 배경】

라자루스 그룹은 2009년 초 등장한 북한 정부 산하의 사이버 공격 집단으로, “Hidden Cobra”, “Guardians of Peace” 등 다양한 이름으로 불리고 있습니다. 미국 FBI, CISA, 재무부(OFAC) 등 주요 미국 기관은 이 그룹이 북한 정찰총 Bureau(또는 Bureau 121)와 긴밀히 연계되어 있으며, 국가의 비대칭 전력으로 전 세계 금융, 정부, 인프라, 의료, 그리고 암호화폐 분야를 대상으로 공격을 감행한다고 경고해왔습니다. 캐나다와 영국, 프랑스, EU 역시 공동 정보 공유와 제재 조치를 통해 이들의 활동을 면밀히 모니터링하고 있습니다.

────────────────────────【주요 공격 사례 및 기법】

1. 랜섬웨어와 대규모 사이버 공격

2017년 ‘워너크라이(WannaCry)’ 랜섬웨어 공격은 미국과 영국, 아시아 등 다수 국가에 큰 피해를 입혔으며, 이후 FBI와 영국 당국은 워너크라이가 라자루스 그룹의 소행일 가능성이 높다고 판단하였습니다. 이 공격은 NSA가 개발한 EternalBlue와 DoublePulsar 익스플로잇을 활용해 네트워크 내에서 자동 전파되는 방식으로 이루어졌습니다.



2. 소니 픽처스 해킹(2014)

2014년 소니 픽처스 해킹 사건은 라자루스 그룹의 정교한 침투 능력을 보여준 대표적 사례입니다. 대량의 기밀 문서, 영화 시나리오, 직원 개인정보 등이 유출되었으며, 이 사건은 이후 사이버 보안 업계 전반에 큰 충격을 주었습니다.



3. 금융 및 암호화폐 범죄

2016년 방글라데시 은행 해킹 사건, 2022년 Axie Infinity의 Ronin 네트워크 해킹(약 620백만 달러 규모)과 2022년 호라이즌 브릿지 공격(약 100백만 달러 도난) 등 다수의 금융 및 암호화폐 공격도 라자루스 그룹의 소행으로 지목되고 있습니다. 2023년에는 Atomic Wallet과 Stake.com 해킹 등 암호화폐 관련 사건들이 발생하여, 전체 암호화폐 손실 중 상당 부분(17.6% 이상)을 차지한 것으로 분석되었습니다.



4. 표적 부문 및 공격 방식

라자루스 그룹은 스피어 피싱, 제로데이 취약점 악용, 악성 코드 배포 등 다양한 기법을 사용합니다. 최근 미국 보건복지부는 ‘매니지엔진’ 소프트웨어 취약점을 이용해 의료·공중 보건 기관을 공격한 사례를 경고하는 사이버 주의보를 발령한 바 있으며, 이 역시 라자루스 그룹이 노리는 표적 중 하나로 확인되었습니다.


────────────────────────────── 【각국 첩보 및 제재 조치】

1. 미국

FBI와 CIA는 라자루스 그룹의 사이버 공격 전술과 도구, 그리고 주요 공격 사례에 대해 다수의 보고서를 발표하였습니다. 미국 재무부 외국자산통제국(OFAC)은 2022년 4월 라자루스 그룹을 특별지정국민(SDN) 목록에 추가하여, 이들의 금융 활동을 차단하고 제재를 강화했습니다. 또한, 미국 법무부는 2021년 북한 정찰총 소속 3명을 기소하는 등 직접적인 법집행 조치를 취했습니다.



2. 캐나다

캐나다 정부 역시 국제 협력을 통해 라자루스 그룹 관련 자금 세탁 및 사이버 범죄에 관여한 인물들을 대상으로 기소 및 제재 조치를 시행하고 있으며, 금융기관과 협력해 의심 거래를 추적하고 있습니다.



3. 영국 및 EU

영국 정보기관과 사이버 보안 당국은 라자루스 그룹의 공격 패턴, IP 추적, 악성코드 분석 등을 통해 이들의 활동을 면밀히 모니터링 중입니다. EU는 최근 제재 패키지를 통해 북한 정부 및 관련 인물들을 포함하여 라자루스 그룹과 연계된 사이버 활동에 대해 강력한 제재 조치를 내렸으며, 이를 통해 유럽 내 중요 인프라와 금융, 의료 기관을 보호하고자 하고 있습니다.

프랑스도 유사한 방식으로 자국 정보기관과 법집행 당국을 통해 라자루스 그룹의 사이버 공격 위험성을 경고하며, 국제 공동 대응 체계를 마련하고 있습니다.




────────────────────────【하위 조직 및 내부 교육】

라자루스 그룹은 내부에서 다양한 부서를 운영하는 것으로 알려져 있습니다.

BlueNorOff (APT38)
금융 범죄 전문 부서로, SWIFT 네트워크를 이용한 은행 강도 사건 등 금전적 이득을 목적으로 한 공격을 수행합니다. 미국 육군 보고서에 따르면 약 1,700명의 구성원이 활동 중입니다.

AndAriel
주로 한국을 표적으로 삼는 부서로, 정부, 국방, 대형 기업 등 주요 인프라를 대상으로 침투 및 정보 탈취 공격을 수행합니다.


또한, 북한 내에서는 김일성대, 김책공업대학, 만경대 등 최고 수준의 학생들을 선발해 6년간 전문 교육을 실시하는 체계를 운영하며, 중국 선양 등 해외에서 추가 전문 교육을 받는 것으로 알려져 있습니다.

─────────────────────────【종합 및 전망】

라자루스 그룹은 단순한 사이버 범죄 집단을 넘어, 북한 정부의 전략적 목적(정보 탈취, 금융 이득 창출, 제재 회피, 국가 비대칭 전력 강화 등)을 수행하는 국가 후원형 사이버 공격 조직입니다. 미국, 캐나다, 영국, 프랑스, EU 등 주요 국가의 첩보 및 사이버 보안 기관들은 이들의 공격 수법, 도구, 피해 범위에 대해 지속적으로 분석하고 있으며, 국제 협력을 통해 제재 및 대응 체계를 강화하고 있습니다.
앞으로도 라자루스 그룹은 암호화폐, 금융, 의료, 정부 기관 등 다양한 분야를 대상으로 공격을 감행할 가능성이 높으며, 각국은 기술적 보안 강화와 정보 공유, 법 집행 협력 등을 통해 이에 대응해야 할 것입니다.

이상은 각국의 공개 자료와 첩보기관 보고를 종합한 라자루스 그룹에 관한 정보입니다.