이미지에 숨어든 악성코드
탐지 어려운 정교한 공격 수법
미국, 북한 사이버 위협 공식 경고
북한 연계 해킹 조직 ‘APT37’이 이미지 파일에 악성코드를 숨겨 유포하는 수법으로 공격을 벌인 정황이 확인됐다. 기존 탐지 체계를 피하는 방식으로, 국내외 보안 당국에 경고가 내려졌다.
기존 백신으로는 탐지가 어렵고, 사용자가 파일을 열기만 해도 자동으로 악성코드가 실행돼 피해가 확산될 가능성이 크다. 미국 정부도 북한을 공식적인 사이버 위협 국가로 지목하며 대응 강화에 나섰다.
이미지에 숨긴 악성코드, 탐지 불가능 수준
국내 사이버 보안 기업 지니언스는 8월 4일 발표한 위험분석 보고서에서 북한 연계 해킹조직 APT37의 최근 공격 사례를 공개했다.
이 조직은 JPEG 이미지 파일 안에 악성코드를 숨기는 ‘스테가노그래피(Steganography)’ 기법을 사용했다.
이 수법은 외형상 일반 이미지와 다를 바 없지만, 내부에는 정보 탈취 기능을 지닌 악성코드가 포함돼 있다. 사용자가 아무 의심 없이 이미지를 열 경우 자동으로 실행되는 방식이다.
또 다른 사례로는 악성 바로가기(.lnk) 파일이 압축파일 안에 포함된 형태가 확인됐다.
‘국가정보와 방첩 원고.zip’이라는 이름의 압축파일에 포함된 ‘.lnk’ 파일의 크기는 54MB로 비정상적으로 컸으며, 내부에 악성 셸 코드가 삽입돼 있었다.
지니언스는 “압축파일 안에 바로가기 파일이 있다면, 악성일 가능성이 높다”며 “보안 담당자는 최신 위협 동향과 파일 확장자 특성을 반드시 숙지해야 한다”고 강조했다.
미국, 북한을 ‘사이버 위협국’으로 명시
북한의 사이버 공격은 국제사회에서도 주요 안보 이슈로 부각되고 있다. 도널드 트럼프 미국 대통령은 6월 6일 서명한 행정명령에서 북한을 사이버 안보 위협 국가로 공식 지정했다.
백악관에 따르면 이번 행정명령에는 중국 외에도 러시아, 이란, 북한이 새롭게 포함됐다.
트럼프 대통령은 “북한과 같은 국가로부터 미국의 사이버 안보를 위협받고 있다”며, 상무부와 국토안보부 등 유관 기관에 대응 조치를 지시했다.
과거 바이든 행정부가 발표한 이전 행정명령에서는 중국만 언급됐지만, 트럼프 대통령은 북한을 포함한 4개국을 명시함으로써 위협의 범위를 확대했다.
미 국방부도 같은 입장이다. 피트 헤그세스 국방장관은 인사청문회에서 “북한은 핵·미사일뿐 아니라 사이버 역량 측면에서도 한반도와 인도·태평양 지역에 실질적 위협이 되고 있다”고 말했다.
암호화폐·방산 기술까지… 전방위 사이버 공격
북한의 사이버 해킹은 단순 정보 수집을 넘어, 직접적인 경제적 이득을 노린 범죄 양상으로 확대되고 있다.
가장 최근 사례는 2025년 3월, 두바이의 암호화폐 거래소 ‘바이비트’에서 발생한 해킹 사건이다.
이 사건에서 약 15억 달러(약 2조 1천억 원) 상당의 암호화폐가 탈취됐으며, 미국 FBI는 북한 해킹조직 ‘라자루스(Lazarus)’를 배후로 지목했다.
탈취된 암호화폐는 수만 개의 가상 계좌를 통해 세탁돼 추적이 어렵고, 군사 개발 자금으로 전용되는 것으로 알려졌다.
지난 4월 SK텔레콤이 해킹 피해를 입었을 당시, 북한 연계 가능성이 제기되기도 했다. 당시 악성코드의 특성과 공격 경로가 과거 북한이 사용한 수법과 유사했다는 분석이 나왔기 때문이다.
이외에도 북한은 ‘블루노로프’, ‘김수키’, ‘안다리엘’ 등 다수의 해킹조직을 통해 암호화폐 거래소, 방위산업체, 기술 기업, 언론기관, 정부 기관을 공격 대상으로 삼고 있다.
공격 방식도 다양하다. 협력업체를 통한 우회 침투, 위장 채용 공고, 악성코드가 삽입된 이메일 등 정교한 사회공학적 수법이 반복적으로 확인되고 있다.
한국과 독일 정보기관이 발표한 경고문에 따르면, 북한 해킹 조직은 조선·해양기술 연구기관 및 방위산업체를 지속적으로 공격하고 있는 것으로 나타났다.
유엔은 북한이 해킹을 통해 얻는 외화가 핵 및 미사일 개발 자금의 약 40%에 달한다고 분석했다.
기술 고도화 속도, 국제적 대응 필요
APT37를 비롯한 북한 해킹 조직의 주요 표적은 대한민국, 일본, 베트남, 인도, 러시아 등지의 정부 기관과 언론사, 대북 단체, 국방 및 기술 산업체다.
이들은 정치적, 경제적 목적을 동시에 추구하며 다양한 방식의 사이버 공격을 이어가고 있다.
최근 공격 수법은 과거보다 한층 정교해졌고, 피해 범위도 확대되고 있다. 이에 따라 국내외 보안 전문가들은 “북한의 사이버 위협에 대응하기 위해 민간과 정부 간 협력이 시급하다”고 지적하고 있다.
사이버 안보는 더 이상 선택이 아니라 필수 과제가 됐다. 북한의 공격 기술이 고도화되고 있는 만큼, 국제사회 차원의 대응과 정보 공유가 요구된다.
