로그프레소 “북한 연계 APT, 장기 정찰·단계적 공격으로 진화”
북한 연계 사이버 공격이 단기 침투를 넘어 장기간 은밀한 정찰과 단계적 공격 실행을 중심으로 진화하고 있으며, 공공기관과 금융권, 기업 전반에 구조적 보안 전환이 요구된다는 분석이 나왔다.
로그프레소는 2025년 한 해 동안 발생한 북한 연계 사이버 공격을 분석한 ‘2025 북한 연계 APT 공격 분석 회고’ 보고서를 발행했다고 15일 밝혔다. 보고서는 공격자가 악성코드를 즉시 실행하지 않고, 감염된 시스템을 원격으로 통제하는 ‘명령·제어 서버(C2 서버, Command&Control Server)’와 주기적으로 통신하며 공격 명령 전달, 추가 악성코드 내려받기, 정보 탈취 시점 조절 등을 수행해 탐지를 회피하고 있다고 진단했다.
이번 보고서는 라자루스, 김수키, APT37, 코니 등 북한과 연계된 주요 4개 공격 그룹의 APT 공격 사례를 기반으로 실제 공격 캠페인과 기술적 특징을 분석했다. 국내외 공공기관과 금융권, 기업을 겨냥한 공격 흐름을 통해 사이버 위협의 구조적 변화를 정리했다.
보고서에 따르면 2025년 북한 연계 사이버 공격의 가장 큰 특징은 장기간 은밀한 정찰과 단계적 공격 실행이다. 공격자는 초기 침투 이후 즉각적인 악성 행위를 수행하지 않고, C2 서버와의 통신을 유지하며 필요한 시점에만 공격 모듈을 내려보내는 방식으로 보안 탐지를 피해 갔다.
국방·북한 연구기관, 금융위원회·금융감독원, 카드사, 보안기관, 글로벌 IT 기업 등을 사칭한 문서와 파일을 활용해 사용자의 실행을 유도하는 공격도 지속적으로 확인됐다. 보고서는 이러한 방식이 조직 내부의 보안 인식과 업무 절차를 노리는 신뢰 기반 공격으로, 중요 정보 유출로 이어질 수 있는 경영 리스크를 내포하고 있다고 지적했다.
지난해 공격 사례에서는 자동화된 다단계 공격 구조와 운영체제별 맞춤형 침투 방식이 공통적으로 나타났다. 공격자는 특정 산업과 조직을 장기간 관찰한 뒤 실제 공격 대상을 선별하는 방식으로 공격 전략을 고도화했다.
한승훈 로그프레소 CISO는 “2025년은 사이버 공격이 더욱 지능화되고 장기화된 해였다”며 “조직은 단순한 보안 솔루션 도입을 넘어 공격 행위를 종합적으로 분석하고 선제적으로 대응할 수 있는 체계로 보안 전략을 재정립해야 한다”고 말했다.
양봉열 로그프레소 대표는 “사이버 공격은 IT 부서만의 문제가 아니라 기업 경영과 국가 경제 전반에 영향을 미치는 핵심 리스크 요인”이라며 “금융·공공·에너지·첨단기술 산업을 겨냥한 공격은 서비스 중단과 신뢰도 하락, 규제 리스크로 확산될 수 있어 선제적 대응이 필요하다”고 밝혔다.
로그프레소는 누적 2096억건 이상과 프라이버시 인텔리전스(PI) 5257억건 이상의 위협 정보를 보유하고 있으며, 이를 자사 보안 정보 및 이벤트 관리와 보안 자동 대응 체계에 연동해 활용하고 있다고 설명했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
