2025년 북한 연계 APT그룹 위협 동향

 

 

1. 개요

북한과 연계된 사이버 공격 조직들은 한국 정부, 언론, 방위산업체, 북한 인권단체, 탈북민 단체 등을 주요 목표로 지속적인 해킹 작전을 수행하고 있다. APT37 (일명 ScarCruft), Kimsuky, Lazarus 등 북한 정부의 지원을 받는 해킹 그룹이 악성코드 배포, 피싱 공격, 제로데이(0-day) 취약점 악용 등 고도화된 공격 기법을 활용하고 있다.

특히 2023년 이후 APT37이 안드로이드 스파이웨어 RambleOn과 ROKRAT을 이용한 모바일 기반 감시 작전을 확장하고 있으며, Kimsuky 그룹은 한국의 정부 기관과 연구소를 대상으로 장기간 정보 탈취 활동을 수행 중이다.

---

 

2. 주요 공격 기법 및 전략

(1) 악성 문서 및 이메일 피싱

• APT37과 Kimsuky 그룹은 MS Word 문서(.docx), LNK 바로가기 파일, ZIP 압축 파일 등에 악성코드를 삽입하여 타깃을 감염시키고 있음.
• 한국 정부, 국방 관련 연구소, 북한 인권단체를 대상으로 한 스피어 피싱 공격이 증가하고 있음.
• 북한과 관련된 정치적 사건(한미연합훈련, 제재 강화 등)에 대한 문서로 위장하여 공격을 수행함.

(2) 안드로이드 및 윈도우 기반 스파이웨어

• APT37이 배포한 RambleOn 및 ROKRAT 스파이웨어가 안드로이드 사용자들을 감염시키고 있음.
• SMS 탈취, 통화 녹음, 위치 추적, 키 입력 기록 등의 기능을 활용하여 한국 내 주요 인사의 정보를 수집.
• Windows 환경에서도 기존의 PowerShell 기반 백도어와 함께 C2(Command & Control) 서버를 이용한 장기적인 침투 작전이 진행됨.

(3) 공급망(Supply Chain) 공격

• 북한 연계 APT 그룹들은 한국의 방산 및 연구기관 내부 네트워크를 직접 공격하는 대신, 협력업체 및 공급망을 통해 우회 공격을 시도함.
• 최근에는 한국 내 보안 취약점을 이용하여 개발된 소프트웨어 업데이트 과정에서 악성코드를 삽입하는 공급망 공격 기법이 증가하고 있음.

(4) 크립토재킹 및 금융 해킹

• Lazarus 그룹은 가상화폐 거래소 및 금융 기관을 대상으로 사이버 공격을 수행, 암호화폐 탈취 및 불법 자금 세탁을 지속하고 있음.
• IT 아웃소싱을 통해 북한 IT 노동자가 해외에서 위장 취업하여 가상화폐 거래와 금융 해킹을 수행하는 정황이 포착됨.

---

 

3. 주요 표적 및 피해 사례

(1) 한국 정부 및 국방 관련 기관

• 국방 연구소, 안보 기관을 대상으로 한 피싱 및 악성코드 감염 사례 증가.
• 최신 무기 개발 자료 및 군사 작전 관련 문건이 주요 해킹 대상.

(2) 북한 인권단체 및 탈북민 관련 조직

• 북한 인권단체에 대한 지속적인 해킹 시도와 감시 작전 수행.
• 탈북민 및 북한 인권 운동가를 대상으로 악성코드가 포함된 피싱 이메일 유포.

(3) 언론 및 학술 연구 기관

• 한반도 문제를 연구하는 국내외 싱크탱크 및 연구기관이 주요 해킹 표적이 되고 있음.
• 언론사 내부 네트워크에 침투하여 북한 관련 보도 자료 및 내부 정보 탈취.

---

 

4. 향후 전망 및 대응 방안

(1) 예상되는 위협

• APT37과 Kimsuky의 활동이 더욱 정교화되며, AI 및 딥페이크 기술을 활용한 해킹 시도가 증가할 가능성 있음.
• 한국의 주요 방산·군사 기밀을 확보하려는 사이버 작전이 지속될 전망.
• 다크웹 및 가상화폐를 활용한 북한의 사이버 금융 범죄가 더욱 활발해질 가능성이 있음.

(2) 대응 방안

• 국방·정부 기관 대상 보안 강화:
  • 북한의 공급망 공격(Supply Chain Attack) 차단을 위한 보안 점검 강화.
  • 악성코드 탐지 및 위협 인텔리전스 공유 확대.
• 모바일 및 원격 근무 환경 보안 강화:
  • 안드로이드 및 윈도우 기반 스파이웨어 차단 솔루션 도입.
  • 피싱 및 스피어 피싱 방지를 위한 보안 교육 강화.
• 금융 및 가상자산 보안 대응 강화:
  • 암호화폐 거래소 및 금융 기관과 협력하여 가상화폐 해킹 대응 체계 구축.
  • 다크웹에서 활동하는 북한 해킹 그룹에 대한 실시간 추적 및 모니터링 강화.

---

 

5. 결론

APT37, Kimsuky, Lazarus 등 북한 연계 해킹 그룹들은 한국 정부, 국방 산업, 연구 기관, 인권 단체, 금융 기관을 주요 표적으로 지속적인 사이버 공격을 수행하고 있다.

 

특히 안드로이드 스파이웨어, 피싱 공격, 공급망 해킹, 가상화폐 탈취 등을 결합한 복합적 사이버 작전이 강화되고 있어, 이에 대한 체계적인 대응이 필요하다. 한국 및 우방국과의 공조를 통해 북한의 사이버 위협을 무력화하는 전략적 접근이 요구된다.

 

---

 

출처: 0x0v1 Threat Intelligence

RightsCon 2025: Unveiling North Korea’s cyber threats: safeguarding human rights

https://www.0x0v1.com/targeted-threats-research-south-north-korea/

작성일: 2025년 2월 11일

 

Targeted Threats Research - South & North Korea, a Breakdown of 3

Years of Civil Society Threat Research

This research paper provides an analysis of three years of data from

five civil society organizations (CSOs) in South Korea. The findings

show that social engineering was the primary initial attack vector, with

spear-phishing links to malware payloads being the most common method of

initial access.