패러다임: 북한 해커 조직 라자루스 그룹의 위협의 수수께끼를 밝혀내다

원제목：《Demystifying the North Korean Threat》

저자：samczsun，Paradigm 연구 파트너

편집：Bright，Foresight News

2월의 어느 아침, SEAL 911 그룹의 불이 켜졌고, 우리는 Bybit가 그들의 콜드 월렛에서 10억 달러 이상의 토큰을 새로운 주소로 이동시키는 모습을 혼란스럽게 지켜보았고, 이어서 2억 달러 이상의 LST를 청산하기 시작했다. 몇 분 안에, 우리는 Bybit 팀과 독립 분석(다중 서명, 이전에 공개 검증된 Safe Wallet을 사용했으나 현재는 새로 배포된 검증되지 않은 계약을 사용)으로부터 이것이 실제로 정기 유지보수가 아님을 확인했다. 누군가가 암호화폐 역사상 가장 큰 해킹 공격을 감행했으며, 우리는 역사적 사건의 최전선에 앉아 있었다.

팀의 일부 구성원(그리고 더 넓은 정찰 커뮤니티)은 자금을 추적하고 협력 거래소에 알리기 시작했지만, 팀의 다른 구성원들은 도대체 무슨 일이 일어났는지, 그리고 다른 자금이 위험에 처해 있는지 파악하려고 했다. 다행히도, 범인을 식별하는 것은 쉬웠다. 지난 몇 년 동안, 암호화폐 거래소에서 수십억 달러를 훔친 것으로 알려진 위협자는 단 한 명, 북한, 즉 DPRK였다.

그러나 그 외에는 거의 사용할 수 있는 단서가 없었다. 북한 해커의 교활한 성격과 그들의 자가 은폐 능력 덕분에 침입의 근본 원인을 파악하는 것은 물론, 도대체 북한 내부의 어떤 특정 팀이 이를 담당했는지조차 알기 어려웠다. 우리가 의지할 수 있는 것은 기존의 정보뿐이었고, 이 정보는 북한이 실제로 사회 공학을 통해 암호화폐 거래소를 침입하는 것을 좋아한다는 것을 보여주었다. 따라서 우리는 북한이 Bybit의 다중 서명자를 침입한 후, 서명 과정을 방해하기 위해 악성 소프트웨어를 배포했을 가능성이 높다고 추측했다.

결과적으로, 이 추측은 완전히 헛된 것이었다. 며칠 후, 우리는 북한이 실제로 Safe Wallet 자체의 인프라를 파괴하고 Bybit를 겨냥한 악성 과부하를 배포했다는 것을 발견했다. 이러한 복잡성은 그 누구도 고려하거나 준비하지 않았던 것이며, 시장에 있는 많은 보안 모델에 대한 중대한 도전이었다.

북한 해커는 우리 산업에 점점 더 심각한 위협을 가하고 있으며, 우리는 이해하지 못하거나 알지 못하는 적을 이길 수 없다. 북한의 사이버 작전의 여러 측면에 대한 많은 사건과 기사가 기록되어 있지만, 그것들을 하나로 엮는 것은 어렵다. 나는 이 개요가 사람들이 북한의 작동 방식과 그들의 전략 및 절차를 더 잘 이해하는 데 도움이 되어, 우리가 올바른 완화 조치를 시행하는 데 더 쉽게 만들기를 바란다.

조직 구조

아마도 해결해야 할 가장 큰 오해는 북한의 대량 사이버 활동을 분류하고 명명하는 방법이다. 구어체에서 "Lazarus Group"이라는 용어를 포괄적으로 사용하는 것은 괜찮지만, 북한의 체계적인 사이버 위협에 대해 자세히 논의할 때는 더 엄밀한 표현을 사용하는 것이 도움이 된다.

우선, 북한의 "조직 구조도"를 이해하는 것이 도움이 된다. 북한의 최고층은 북한의 집권당(유일한 집권당)인 북한 노동당(WPK)이며, 북한의 모든 정부 기관은 그에 의해 지휘된다. 여기에는 북한 인민군(KPA)과 중앙위원회가 포함된다. 인민군 내에는 총참모부(GSD)가 있으며, 그곳에 정찰총국(RGB)이 위치한다. 중앙위원회 아래에는 군수산업부(MID)가 있다.

RGB는 거의 모든 북한의 사이버 전쟁을 담당하며, 암호화폐 산업에서 관찰된 거의 모든 북한 활동을 포함한다. 악명 높은 Lazarus Group 외에도 RGB에서 나타나는 다른 위협 행위자로는 AppleJeus, APT38, DangerousPassword 및 TraderTraitor가 있다. 반면, MID는 북한의 핵 미사일 프로그램을 담당하며, 북한 IT 작업자의 주요 공급원으로 정보계에서는 이를 Contagious Interview와 Wagemole이라고 부른다.

라자루스 그룹 (Lazarus Group)

라자루스 그룹(Lazarus Group)은 매우 복잡한 해커 조직으로, 사이버 보안 전문가들은 역사상 가장 규모가 크고 파괴적인 해킹 공격 중 일부가 이 조직에 의해 이루어졌다고 믿고 있다. 2016년, Novetta는 소니 픽처스 엔터테인먼트(Sony Pictures Entertainment) 해킹 사건을 분석하면서 처음으로 Lazarus Group을 발견했다.

2014년, 소니는 액션 코미디 영화 《김정은 암살》을 제작 중이었으며, 그 주요 줄거리는 김정은이 수모를 당하고 그에 따른 암살이었다. 이해할 수 있듯이, 이는 북한 정권의 환영을 받지 못했으며, 북한 정권은 소니 네트워크를 해킹하고 수 TB의 데이터를 훔치며 수백 GB의 기밀 또는 기타 민감한 정보를 유출하고 원본을 삭제함으로써 보복했다. 당시 CEO인 마이클 린턴은 "이런 짓을 하는 사람들은 집안의 모든 것을 훔쳐가는 것뿐만 아니라 집도 태워버린다"고 말했다. 결국, 소니는 이번 공격에 대한 조사 및 복구 비용이 최소 1500만 달러에 달하며, 손실은 더 클 수 있다.

이후 2016년, Lazarus Group과 매우 유사한 해커가 방글라데시 은행을 해킹하여 거의 10억 달러를 훔치려 했다. 해커는 1년 동안 방글라데시 은행 직원에 대한 사회 공학 공격을 시도하여 결국 원격 접근 권한을 얻고 은행 내부 네트워크로 이동하여 SWIFT 네트워크와 상호작용하는 컴퓨터에 도달했다. 그때부터 그들은 절호의 공격 기회를 기다렸다: 방글라데시 은행은 목요일에 주말을 쉬지만, 뉴욕 연방준비은행은 금요일에 주말을 쉰다. 방글라데시 현지 시간으로 목요일 저녁, 위협 행위자는 SWIFT 네트워크에 대한 접근 권한을 이용해 뉴욕 연방준비은행에 36개의 개별 송금 요청을 보냈고, 당시 현지 시간으로 목요일 아침이었다. 이후 24시간 이내에 뉴욕 연방준비은행은 이 송금을 필리핀의 리잘 상업은행(RCBC)으로 전달했고, 후자는 조치를 취하기 시작했다. 이후 방글라데시 은행이 다시 문을 열었을 때, 해킹 사건이 발견되었고, 그들은 리잘 상업은행에 진행 중인 거래를 중단하라고 알리려 했지만, 리잘 상업은행은 음력 설 연휴로 인해 이미 문을 닫았다.

마지막으로 2017년, 대규모 WannaCry 2.0 랜섬웨어 공격이 전 세계 산업을 파괴했으며, 그 일부는 Lazarus Group에 귀속되었다. WannaCry로 인해 수십억 달러의 손실이 발생했으며, 이는 NSA가 처음 개발한 Microsoft Windows 0day를 이용하여 로컬 장치를 암호화할 뿐만 아니라 다른 접근 가능한 장치로 전파되어 전 세계 수십만 대의 장치를 감염시켰다. 다행히도, 보안 연구원 마커스 허친스가 8시간 이내에 종료 스위치를 발견하고 활성화함으로써 최종 손실이 제한되었다.

Lazarus Group의 발전 과정을 살펴보면, 그들은 매우 높은 기술력과 실행력을 보여주었으며, 그들의 목표 중 하나는 북한 정권에 수익을 창출하는 것이다. 따라서 그들이 암호화폐 산업에 주목하는 것은 시간 문제였다.

파생

시간이 지남에 따라, Lazarus Group이 북한의 사이버 활동을 설명할 때 언론에서 선호하는 통칭이 되면서, 사이버 보안 산업은 Lazarus Group과 북한의 특정 활동에 대해 더 정확한 이름을 만들었다. APT38이 그 예로, 이는 2016년경 Lazarus Group에서 분리되어 금융 범죄에 집중하게 되었으며, 처음에는 방글라데시 은행과 같은 은행을 대상으로 하다가 이후 암호화폐로 확대되었다. 이후 2018년, AppleJeus라는 새로운 위협이 발견되어 암호화폐 사용자들을 겨냥한 악성 소프트웨어가 퍼지고 있었다. 마지막으로, 2018년 초, OFAC가 북한인이 사용하는 두 개의 프론트 회사에 대한 제재를 처음 발표했을 때, 북한인이 IT 작업자로서 이미 기술 산업에 침투하고 있었다.

북한 IT 작업자

북한 IT 작업자에 대한 최초의 기록은 2018년 OFAC 제재에서 언급되었지만, Unit 42의 2023년 보고서는 더 자세한 설명을 제공하며 두 개의 서로 다른 위협 행위자를 확인했다: Contagious Interview와 Wagemole이다.

전해지는 바에 따르면, Contagious Interview는 유명 회사의 채용 담당자를 사칭하여 개발자를 가짜 면접 과정에 유인한다. 이후 잠재적인 후보자는 로컬 디버깅을 위해 저장소를 클론하도록 지시받으며, 이는 표면적으로는 코딩 도전 과제로 보이지만, 실제로는 해당 저장소에 백도어가 포함되어 있어 백도어를 실행하면 공격자에게 영향을 받은 기계의 제어권이 넘어간다. 이 활동은 계속 진행 중이며, 최근 기록된 사건은 2024년 8월 11일이다.

반면, Wagemole 특공대의 주요 목표는 잠재적 피해자를 고용하는 것이 아니라 회사에 고용되어 일반 엔지니어처럼 일하는 것이다. 비록 효율성이 낮을 수 있지만, 기록에 따르면 IT 작업자는 그들의 접근 권한을 이용하여 공격을 감행하기도 했다. 예를 들어, Munchables 사건에서 북한 활동과 연관된 직원이 스마트 계약에 대한 특권 접근 권한을 이용해 모든 자산을 훔쳤다.

Wagemole 특공대의 복잡성은 다양하며, 진부한 이력서 템플릿과 비디오 통화에 응하지 않으려는 태도에서부터, 고도로 맞춤화된 이력서, 심층적으로 조작된 비디오 면접, 운전 면허증 및 공과금 청구서와 같은 신분증명서까지 포함된다. 어떤 경우에는 특공대가 피해 조직에 최대 1년 동안 잠입한 후, 그들의 접근 권한을 이용해 다른 시스템을 침입하거나 완전히 현금화하기도 했다.

애플 예수 (AppleJeus)

AppleJeus는 주로 악성 소프트웨어를 퍼뜨리는 데 집중하며, 복잡한 공급망 공격에 능숙하다. 2023년, 3CX 공급망 공격으로 공격자는 3CX VoIP 소프트웨어의 12,1200만 사용자에게 감염될 수 있는 기회를 얻었지만, 나중에 3CX 자체도 그들의 상위 공급업체 중 하나인 Trading Technologies의 공급망 공격에 영향을 받았다는 것이 밝혀졌다.

암호화폐 산업에서 AppleJeus는 처음에 합법적인 소프트웨어(예: 거래 소프트웨어 또는 암호화폐 지갑)로 포장된 악성 소프트웨어를 배포함으로써 활동했다. 그러나 시간이 지남에 따라 그들의 전략은 변화했다. 2024년 10월, Radiant Capital은 신뢰할 수 있는 계약자를 사칭한 위협 행위자에 의해 Telegram을 통해 악성 소프트웨어에 감염되었으며, Mandiant는 이를 AppleJeus에 귀속시켰다.

위험한 비밀번호 (Dangerous Password)

위험한 비밀번호는 암호화폐 산업에 대해 낮은 복잡도의 사회 공학 기반 공격을 수행한다. 2019년, JPCERT/CC는 위험한 비밀번호가 유혹적인 첨부 파일이 포함된 피싱 이메일을 사용자에게 보내 다운로드하도록 한다고 기록했다. 몇 년 전, 위험한 비밀번호는 업계의 유명 인사를 사칭하여 "스테이블코인과 암호 자산의 위험이 크다"는 주제로 피싱 이메일을 보냈다.

현재 위험한 비밀번호는 여전히 피싱 이메일을 보내고 있지만, 다른 플랫폼으로도 확장되었다. 예를 들어, Radiant Capital은 그들이 Telegram을 통해 보안 연구원을 사칭한 사람으로부터 "PenpieHackingAnalysis_Report.zip"이라는 파일을 배포받은 피싱 메시지를 받았다고 보고했다. 또한, 사용자들은 기자와 투자자를 사칭한 사람들이 그들에게 연락하여 눈에 띄지 않는 비디오 회의 애플리케이션을 사용하여 통화를 예약하자고 요청했다고 보고했다. Zoom과 유사하게, 이러한 애플리케이션은 일회성 설치 프로그램을 다운로드하지만, 실행 시 악성 소프트웨어를 장치에 설치한다.

거래자 배신자 (TraderTraitor)

TraderTraitor는 암호화폐 산업에서 가장 노련한 북한 해커로, Axie Infinity와 Rain.com과 같은 공격을 감행했다. TraderTraitor는 거의 모든 경우에 대량의 자금을 보유한 거래소와 다른 회사를 목표로 하며, 그들의 목표에 제로데이 취약점을 배포하지 않고, 오히려 고도로 복잡한 피싱 기술을 사용하여 피해자를 공격한다. Axie Infinity 해킹 사례에서 TraderTraitor는 LinkedIn을 통해 한 고위 엔지니어에게 접근하여 일련의 면접을 수락하도록 설득한 후, 악성 소프트웨어를 배포하는 "제안"을 보냈다. 이후 WazirX 해킹 사건에서 TraderTraitor 특공대는 서명 파이프라인의 아직 확인되지 않은 구성 요소를 파괴한 후, 반복적인 입금 및 출금을 통해 거래소의 핫 월렛을 고갈시켰고, 이로 인해 WazirX 엔지니어가 콜드 월렛에서 핫 월렛으로 재조정을 수행하게 만들었다. WazirX 엔지니어가 자금을 이동하기 위해 거래에 서명하려고 할 때, 그들은 TraderTraitor에게 콜드 월렛의 제어권을 넘기는 거래에 서명하도록 유도되었다. 이는 2025년 2월 Bybit에 대한 공격과 매우 유사하며, 당시 TraderTraitor는 먼저 사회 공학 공격을 통해 Safe{Wallet} 인프라를 파괴한 후, Bybit 콜드 월렛을 겨냥한 Safe Wallet 프론트엔드에 악성 JavaScript를 배포했다. Bybit가 그들의 지갑을 재조정하려고 할 때, 악성 코드는 활성화되어 Bybit 엔지니어가 콜드 월렛의 제어권을 TraderTraitor에게 넘기는 거래에 서명하게 만들었다.

안전 유지

북한은 적이 제로데이 취약점을 배포하는 것에 대한 대응 능력을 보여주었지만, 현재까지 북한이 암호화폐 산업에 제로데이 취약점을 배포한 기록이나 알려진 사건은 없다. 따라서 거의 모든 북한 해커의 위협에 대해 전형적인 보안 조언이 적용된다.

개인에게는 상식을 활용하고 사회 공학 수단에 경계를 가져야 한다. 예를 들어, 누군가가 매우 기밀한 정보를 가지고 있다고 주장하며 당신과 공유하려고 한다면, 조심해야 한다. 또는 누군가가 당신에게 시간 압박을 가하며 특정 소프트웨어를 다운로드하고 실행하라고 요구한다면, 그들이 당신을 논리적으로 생각할 수 없는 상황에 빠뜨리려는 것인지 고려해야 한다.

조직의 경우, 가능한 한 최소 권한 원칙을 적용해야 한다. 민감한 시스템에 접근할 수 있는 사람의 수를 최소화하고, 그들이 비밀번호 관리기와 2FA를 사용하도록 해야 한다. 개인 장치와 작업 장치를 분리하고, 작업 장치에 모바일 장치 관리(MDM) 및 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치하여 해커 침입 전의 안전성과 해커 침입 후의 가시성을 확보해야 한다.

불행히도, 대형 거래소나 다른 고가치 목표에 대해 TraderTraitor는 제로데이 취약점이 필요하지 않더라도 예상 이상의 파괴를 할 수 있다. 따라서 단일 실패 지점이 존재하지 않도록 추가 예방 조치를 취해야 하며, 한 번의 침입으로 모든 자금이 손실되지 않도록 해야 한다.

그러나 모든 것이 실패하더라도 여전히 희망이 있다. FBI에는 북한의 침입을 추적하고 방지하는 전담 부서가 있으며, 수년 동안 피해자에게 통지를 해왔다. 최근 나는 해당 부서의 요원이 잠재적인 북한 목표와 연결될 수 있도록 도와줄 수 있어 기뻤다. 따라서 최악의 상황에 대비하기 위해 공개 연락처 정보를 확보하거나, 생태계 내에서 충분히 많은 사람들과 연결되어 있는지(예: SEAL 911) 확인하여 사회적 네트워크를 통해 메시지가 가장 빠르게 전달될 수 있도록 해야 한다.