북한이 사이버 공격 수법을 한층 고도화하고 있다. 과거 정권 주도의 해킹조직 중심으로 움직이던 북한이 이제는 범죄 생태계와 협업해 '서비스형 랜섬웨어(RaaS)' 시장에 참여한 정황이 처음으로 확인됐다.
해킹 기술이 없는 개인도 공격에 가담할 수 있는 RaaS 모델을 활용하면서 북한의 공격이 더 정교하고 체계적으로 진화하고 있다는 분석이다.
17일 마이크로소프트(MS)가 발표한 '2025 디지털 방어 보고서'에 따르면 북한 해커들이 RaaS 생태계에 제휴자로 참여한 사례가 처음으로 포착됐다.
보고서는 "북한이 자원을 효율적으로 배분해 침투 활동에 집중하려는 전략을 취하고 있다"며 "이로 인해 랜섬웨어 공격의 빈도와 정교함이 더 높아질 수 있다"고 경고했다.
MS는 북한이 무기 체계 관련 지식재산(IP)을 탈취하기 위한 피싱 공격을 강화하고 있으며 클라우드 인프라를 활용해 명령·제어(C2) 서버를 은폐하는 수법을 사용하고 있다고 밝혔다. 이는 공격 탐지와 차단을 더욱 어렵게 만들어 방어망 회피 능력이 높아지고 있음을 보여준다.
북한의 주요 해킹 표적은 IT(33%), 학계(15%), 싱크탱크·비정부기구(8%) 순이며 국가별로는 미국이 전체의 절반(50%)을 차지해 가장 많은 공격을 받았다. 이탈리아(13%), 호주(5%), 영국(4%) 등이 뒤를 이었고 한국은 전체의 1% 수준으로 집계됐다.
보고서는 북한이 블록체인·암호화폐, 국방·제조업, 동아시아 정책 관련 기관을 주요 표적으로 삼고 있다고 지적했다. 이는 단순한 해킹이 아니라 외화벌이와 정보 수집이라는 이중 목적을 동시에 추구하고 있는 것으로 풀이된다.
또 북한이 사이버 범죄 생태계와 협업해 공격을 외주화하는 사이버 용역 모델도 확장 중인 것으로 조사됐다. 실제로 북한 국적의 원격 IT 근로자들이 서방 기업에 위장 취업해 급여를 정권에 송금하거나 기업 내부망에 침투하는 사례가 다수 포착됐으며 신분이 드러나면 기업을 상대로 협박하는 사례도 나타났다.
MS는 이러한 행태가 북한이 해킹 기술과 자금을 분리해 효율적인 사이버 공격 운영 모델을 구축하고 있음을 보여준다고 분석했다. 보고서는 "북한이 사이버 범죄 생태계를 더욱 적극적으로 활용할 경우 공격 주체의 식별이 훨씬 복잡해지고 책임 추적이 어려워질 수 있다"고 설명했다.
아울러 북한뿐 아니라 전 세계적으로 공격자들이 인공지능(AI)을 활용해 피싱, 사회공학, 악성코드 개발 등을 자동화하고 있다고 짚었다. 공격자는 AI를 이용해 더욱 정교한 가짜 콘텐츠를 만들어내고 탐지를 회피하며 악성 행위를 대규모로 확산시키고 있다는 설명이다.
반대로 방어 측에서도 AI 기반 위협 탐지와 대응 기술을 강화하고 있어 'AI 대 AI'의 공격-방어 경쟁이 본격화됐다고 평가했다.
관련기사
- "마이크로세그멘테이션 도입 기업, 랜섬웨어 대응 속도 33% 빨라져"2025.10.16
- 랜섬웨어 '메두사', GoAnywhere 취약점 악용해 공격 시도2025.10.07
- 올해 3분기 랜섬웨어 공격 5336건…2023년 넘었다2025.10.07
- 세계적 해킹그룹 국내 금융사 2곳 해킹..."고객 명단에 유명 정치인 포함"2025.09.15
MS는 "사이버 위협은 이제 특정 국가나 산업만의 문제가 아니다"라며 "기업과 정부 모두 보안 체계를 현대화하고 다중 인증(MFA)과 AI 기반 방어 시스템을 도입해야 한다"고 강조했다.
이어 "국가 기반 공격자들이 사이버 범죄 생태계를 더 적극적으로 이용할수록 전 세계 보안 위협은 더욱 복잡해지고 예측하기 어려워질 것"이라며 "정부와 산업계가 협력해 방어력을 높여야 한다"고 덧붙였다.
