NSHC, NanoSec 2025서 라자루스 가상자산 탈취 공격 사례 공개

정보보안 기업 엔에스에이치씨(대표 최병규, 이하 NSHC)는 24일부터 25일까지 말레이시아 쿠알라룸푸르에서 열린 ‘NanoSec 2025’ 보안 컨퍼런스에서 북한 해킹 조직 라자루스(Lazarus)의 최신 가상자산 탈취 공격 사례를 발표했다고 26일 밝혔다.

NanoSec 2025는 NanoSec Asia가 주최하는 아시아 지역 보안 컨퍼런스로, 전 세계 위협 인텔리전스 연구자와 보안 전문가가 최신 공격 동향과 대응 기술을 공유하는 행사다. 올해 행사는 ‘Parallel Pulse: Advancing Defensive Intelligence’를 주제로 진행됐으며, NSHC는 아시아 대표 보안 기업으로 초청돼 라자루스의 최근 작전을 분석해 공개했다.

발표는 NSHC 위협분석 연구소가 올해 5월 포착한 가짜 암호화폐 거래 애플리케이션 기반 해킹 캠페인을 중심으로 구성됐다. 공격자는 정상 거래 프로그램처럼 보이도록 위장한 설치 파일을 배포했으며, 내부에는 NSIS(Nullsoft Scriptable Install System) 기술로 패키징된 Electron 기반 앱과 자바스크립트 로더가 포함돼 있었다. 로더는 추가 악성코드를 내려받아 실행했고, 이어 파이썬 기반 모듈이 감염 기기의 제어·정보 탈취 기능을 수행했다. 마지막 단계에서는 .NET 기반 백도어 ‘Tsunami’가 설치돼 공격자가 장기간 원격 접속을 유지할 수 있는 구조가 완성됐다.

이번 공격은 정상 서비스와 합법적 도구를 교묘히 악용한 점이 특징이다. Tsunami 백도어는 온라인 메모 공유 서비스인 페이스트빈(Pastebin)을 이용해 암호화된 명령을 전달받았고, 사용자 위치를 숨기는 통신망인 토르(Tor) 네트워크로 경로를 은폐했다. 또한 원격 제어 프로그램 애니데스크(AnyDesk)를 이용해 장기 접속을 유지하는 방식으로 탐지를 피했다. 외형상 정상 프로그램처럼 보이기 때문에 일반 사용자나 기업 보안 시스템이 쉽게 구분하기 어렵다.

NSHC는 이번 사례가 2023~2024년에 확인된 라자루스의 가상자산 탈취 작전과 유사한 전술을 기반으로 하면서, 공격 구조가 더 정교하게 진화한 형태라고 설명했다. 단순 금전 탈취를 넘어 장기 정보수집·스파이 활동으로 확대될 가능성이 높으며, 특히 Tsunami 백도어는 모듈 교체가 쉬운 구조여서 목적에 따라 기능을 변경하거나 다른 작전에 재사용될 위험이 있다고 지적했다.

최병규 NSHC 대표는 “라자루스는 단순한 금전 공격 그룹을 넘어 장기 침투 능력을 갖춘 위협 세력”이라며 “가상자산 산업은 국가 차원의 공격 대상이 되고 있는 만큼, 국제 보안 커뮤니티의 협력과 위협 정보 공유가 더욱 중요해지고 있다”고 말했다.

NSHC는 위협 인텔리전스, 악성코드 분석, 보안 컨설팅 등 다양한 보안 서비스를 제공하며 ThreatRecon 플랫폼을 통해 글로벌 공격 동향을 분석하고 있다. 회사는 이번 발표를 통해 북한 해킹 조직의 활동이 아시아를 포함한 글로벌 보안 환경 전반에 미치는 영향을 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network