-
라자루스(Lazarus)사이버공격 사례 2025. 7. 1. 11:17
"라자루스(Lazarus)"는 이제 보안 업계에서 단순한 해킹 그룹 이름 그 이상을 의미합니다. 북한 정찰총국과 연계된 것으로 알려진 이들은, 국가적 지원을 받으며 전 세계의 금융, 방위 산업, 첨단 기술 분야를 대상으로 대담하고 정교한 공격을 감행하는 가장 위협적인 존재 중 하나입니다.
2014년 소니 픽처스 해킹으로 그 이름을 알린 이후, 이들의 활동 반경과 공격 기법은 쉼 없이 발전해 왔습니다. 최근에는 가짜 채용 공고로 접근하거나 금융 보안 소프트웨어의 허점을 파고드는 등, 우리의 일상과 신뢰의 기반을 직접적으로 노리고 있습니다.
이 글에서는 더욱 교묘해진 라자루스의 핵심 공격 전술을 심층적으로 분석하고, 이에 맞설 실질적인 방어 전략을 제시하고자 합니다.
라자루스 공격의 핵심 특징
2024년 관측된 라자루스의 악성코드는 과거의 성공 전략을 계승하면서도, 분석을 회피하기 위한 새로운 장치들을 곳곳에 추가했습니다. 이들의 핵심적인 특징은 다음과 같습니다.
첫째, 여전히 가장 강력한 무기 'DLL 사이드 로딩'
이것은 라자루스의 상징과도 같은 기법입니다. 정상적인 프로그램이 실행될 때, 같은 폴더에 있는 악성 DLL 파일을 먼저 로드하도록 만들어 정상 프로세스의 일부인 것처럼 위장합니다. 보안 솔루션의 감시망에 잘 걸리지 않고, 행위 분석 시에도 정상적인 활동으로 오인하게 만들어 공격의 시작점을 숨기는 효과적인 전술입니다.
둘째, 정해진 표적만 노리는 '조건부 실행'
라자루스는 더 이상 불특정 다수를 향해 무차별적으로 악성코드를 퍼뜨리지 않습니다. 공격 전에 수집한 시스템의 고유 식별값(MachineGuid)이나, 공격자가 직접 전달하는 실행 인자값이 일치할 때만 악성 기능이 동작하도록 설계합니다. 이는 자동화된 샌드박스 분석 환경을 무력화하고, 오직 목표로 삼은 특정 시스템만 정밀하게 타격하기 위한 전략입니다.
셋째, 분석을 지연시키는 '난독화와 암호화'
악성코드 내부에 있는 C2 서버 주소나 주요 API 이름 같은 핵심 문자열을 그대로 두지 않습니다. 자체적으로 만든 문자열 치환 알고리즘으로 난독화하는데, 2024년에는 이 치환 규칙이 더욱 복잡해졌습니다. 또한, 기존에 사용하던 AES, RC4 암호화에 더해 분석이 더 까다로운 RC6 알고리즘까지 사용하는 것이 확인되었습니다. 각 모듈을 다른 방식으로 암호화하여, 분석가가 전체 구조를 파악하는 데 상당한 시간을 소요하게 만듭니다.
넷째, 흔적을 숨기는 '파일 모듈화와 ADS'
공격에 필요한 모든 기능을 하나의 파일에 담지 않습니다. 실행을 담당하는 로더, C2 정보가 담긴 설정 파일, 실제 원격 제어 기능을 하는 페이로드를 각각 다른 파일로 분리합니다. 특히, 윈도우 파일 시스템의 기본 기능인 ADS(Alternate Data Stream) 영역에 악성 모듈을 숨기는 방식은 파일 크기나 해시 값의 변화 없이 악성코드를 은닉할 수 있어 탐지를 더욱 어렵게 만듭니다.
다섯째, 추적을 따돌리는 '다계층 C2 인프라'
C2 서버가 차단되더라도 공격을 멈추지 않습니다. 하나의 악성코드 안에 여러 개의 예비 C2 주소를 포함하고, 프록시 서버와 중간 서버를 두는 등 여러 계층의 인프라를 구축하여 실제 공격의 근원지를 숨깁니다. 2024년에는 서버와 통신하는 문자열 구조(KEY=VALUE)마저 난수로 생성하고 조합하는 방식으로 진화하여, 고정된 패턴 기반의 네트워크 트래픽 탐지를 무력화하고 있습니다.
라자루스의 공격기법 예시를 통해 보기
이러한 기술 용어가 어렵게 느껴진다면, 다음과 같은 일상 속 상황으로 비유할 수 있습니다.
- DLL 사이드 로딩은 레스토랑 공식 배달원 대신, 똑같은 옷을 입은 가짜 배달원이 먼저 현관에 도착해 문을 열게 만드는 '배달원 바꿔치기'와 같습니다.
- MachineGuid 표적화는 수많은 사람 중 오직 특정인의 지문으로만 열리는 '비밀 상자'를 보내는 것과 같습니다. 다른 사람은 상자를 얻어도 절대 열 수 없습니다.
- ADS 악용은 평범한 백과사전의 페이지를 몰래 파내고 그 안에 비밀 무기를 숨기는 '책 속 비밀 공간'과 같습니다. 겉으로 봐서는 아무도 알 수 없습니다.
결국 라자루스는 이처럼 기만적인 속임수들을 여러 겹으로 쌓아 올려, 하나의 정교한 공격 시나리오를 완성하는 것입니다.
어떻게 방어하고 대응할 것인가
라자루스의 공격은 특정 보안 솔루션 하나로 막을 수 있는 단편적인 위협이 아닙니다. 이들의 전략이 다층적이듯, 우리의 방어 역시 여러 계층에 걸쳐 유기적으로 작동해야 합니다.
구분 라자루스의 전략 코드 위장 정상 EXE/DLL, ADS, 시스템 경로를 이용한 악성코드 은닉 실행 제한 MachineGuid, 실행 인자값 검증을 통한 정밀 타격 통신 방식 난수 기반 POST 구조, 다계층 C2 서버를 통한 추적 회피 기술 고도화 RC6 암호화 도입, 치환 알고리즘 진화로 분석 방해 - 행위 기반의 위협 탐지를 강화해야 합니다. 파일의 이름이나 서명에 의존하는 대신, 정상 프로세스가 비정상적인 경로의 DLL을 로드하거나, 시스템 레지스트리의 MachineGuid 같은 특정 값에 접근하는 등의 '의심스러운 행위' 그 자체를 탐지하고 차단해야 합니다. EDR(엔드포인트 탐지 및 대응) 솔루션이 핵심적인 역할을 합니다.
- 파일 시스템과 시스템 경로의 무결성을 감시해야 합니다. 주요 시스템 폴더(System32 등)에 새로운 DLL이 생성되거나 수정되는 것을 상시 모니터링해야 합니다. 또한, 파일 검사 시 ADS 스트림의 존재 여부를 확인하는 정책을 도입해야 합니다.
- 네트워크 트래픽에 대한 심층 분석이 필요합니다. 단순히 알려진 악성 IP나 도메인을 차단하는 것을 넘어, 비정상적인 KEY=VALUE 패턴을 보이거나, 암호화된 트래픽이라도 주기적으로 이상 징후를 보이는 통신을 탐지하고 분석할 수 있는 체계를 갖춰야 합니다.
- 가장 기본적인 방어 원칙을 철저히 지켜야 합니다. 결국 많은 공격은 이메일이나 소프트웨어 취약점에서 시작됩니다. 임직원을 대상으로 한 최신 스피어피싱 공격 유형에 대한 지속적인 교육과, 운영체제 및 주요 애플리케이션에 대한 신속한 보안 패치 적용은 가장 비용 효율적이고 강력한 방어선입니다.
라자루스는 앞으로도 우리의 예상을 뛰어넘는 방식으로 진화할 것입니다. 따라서 방어자 역시 특정 공격 기법 하나하나에 매몰되기보다, 그들의 전략적 의도를 파악하고 시스템 전반의 가시성을 확보하여 비정상적인 '징후'를 포착하는 데 집중해야 합니다. 그것이 바로 끊임없이 움직이는 그림자인 라자루스에 맞서는 가장 현실적인 방법입니다.