[보안 사고 분석-3] 라자루스(Lazarus)의 업비트 침공: 사회공학적 기법과 최초 침투의 재구성

게시 2026/04/18

By JIJ

36 분읽는 시간

1. 서론: 국가 배후 해킹 조직의 전략적 도발

2025년 11월, 국내 최대 가상자산 거래소 업비트(Upbit)를 겨냥한 공격은 북한 배후의 ‘라자루스 그룹(Lazarus Group)’이 수행하는 사이버전의 전형을 보여주었습니다. 이들은 단순한 금전 탈취를 넘어, 고도화된 APT(Advanced Persistent Threat) 기법을 동원하여 국내 금융 인프라의 신뢰성을 타격하고 국가 안보를 위협했습니다.

정보보호학 전공자의 시선에서 이번 사고는 ‘기술적 취약점’보다 ‘인간의 심리와 신뢰’를 해킹한 사회공학적 기법의 승리이자, 기존 엔드포인트 탐지(EDR) 시스템을 비웃는 정교한 우회 전술의 집합체입니다.

2. 최초 침투(Initial Access)의 재구성: ‘신뢰’를 해킹하다

라자루스는 거래소의 강력한 망분리 환경과 보안관제(SOC)를 뚫기 위해 수개월에 걸친 ‘정찰(Reconnaissance)’과 ‘심리적 가스라이팅’ 단계를 거쳤습니다.

(1) 오퍼레이션 드림 잡(Operation Dream Job)의 진화

공격자들은 링크드인(LinkedIn)과 텔레그램(Telegram)을 주 무대로 삼았습니다.

타겟팅: 거래소 내 지갑 관리 시스템(Hot Wallet) 접근 권한이 있거나 인프라 운영을 담당하는 핵심 엔지니어들을 표적으로 선정했습니다.
심리적 전술: 실존하는 글로벌 헤드헌팅 업체나 유명 투자사(예: Jump Crypto, a16z 등)를 사칭하여 고액의 연봉과 파격적인 이직 조건을 제시했습니다. 수주간 일상적인 대화를 나누며 타겟의 경계심을 완전히 허물어뜨리는 ‘신뢰 형성(Rapport Building)’ 과정을 선행했습니다.

(2) 기술적 무기화(Weaponization): 탐지 회피의 극치

신뢰가 구축된 시점에 전달된 ‘채용 관련 문서’는 겉보기에 완벽한 PDF 혹은 DOCX 파일이었으나, 그 이면에는 다층적인 악성 페이로드가 숨겨져 있었습니다.

악성 LNK(Shortcut) 파일의 변칙 활용:
- PDF 아이콘으로 위장한 .lnk 파일은 실행 시 정상적인 직무 기술서(JD)를 띄워 사용자를 안심시킵니다.
- 하지만 백그라운드에서는 mshta.exe나 powershell.exe를 호출하여 난독화된 스크립트를 실행합니다. 이때 스크립트는 파일 시그니처(File Signature)를 교묘히 조작하여 보안 솔루션이 이를 정상적인 시스템 파일로 인식하게 유도했습니다.
원격 템플릿 주입(Remote Template Injection):
- 전통적인 매크로(VBA) 차단 정책을 우회하기 위해, 문서 실행 시 외부에 존재하는 공격자의 서버로부터 악성 템플릿(.dotm)을 동적으로 로드하는 방식을 취했습니다.
- 파일 자체에는 악성 코드가 거의 존재하지 않아 정적 분석(Static Analysis) 기반의 안티바이러스(AV)는 이를 탐지하지 못했습니다.
DLL 사이드로딩(DLL Side-loading)의 정교화:
- 정상적인 소프트웨어(예: 보안 툴, 오피스 프로그램)의 실행 파일이 시작될 때 필요한 DLL을 로드하는 순서를 악용했습니다.
- 공격자는 정상 실행 파일과 동일한 경로에 악성 DLL을 배치하여, 시스템이 공격자의 코드를 ‘신뢰할 수 있는 정상 프로세스’의 일부로 실행하게 만들었습니다. 이는 메모리 포렌식을 수행하지 않는 한 탐지가 극히 어렵습니다.

3. 침투 직후의 행위: 가시성 밖의 잠복

최초 침투에 성공한 라자루스는 즉각적인 파괴 행위를 자제하며 가시성을 확보하는 데 주력했습니다.

자격 증명 탈취(Credential Access): 피해 PC의 브라우저 쿠키, 세션 정보, 그리고 메모리 덤프를 통해 내부 시스템(VPN, AWS Console 등)으로 향하는 열쇠를 수집했습니다.
C2(Command & Control) 통신의 은닉: 정상적인 클라우드 서비스(Google Drive, Dropbox 등)의 API를 통신 채널로 활용하여, 대량의 데이터가 오가는 거래소 네트워크 트래픽 속에서 공격자의 신호를 완벽하게 매몰시켰습니다.

결국, 성벽의 가장 약한 고리인 ‘인간’을 통해 정문을 열고 들어온 공격자는, 이제 거래소 내부망이라는 광활한 사냥터를 누빌 준비를 마쳤습니다.

4. 기술적 해체: 커스텀 악성코드와 ‘흔적 없는’ 공격 기술

라자루스 그룹은 이번 사고를 위해 기존의 ‘AppleJeus’나 ‘Dtrack’의 변종인 2025년형 커스텀 악성코드(일명 ‘BeaverTail’ 진화형)를 투입했습니다. 이 악성코드는 EDR(엔드포인트 탐지 및 대응) 시스템을 무력화하기 위해 설계된 여러 층의 보호막을 가지고 있었습니다.

(1) 커스텀 악성코드의 특징: 메모리 내 실행과 다형성

Reflective DLL Injection: 악성코드는 디스크에 파일을 쓰지 않고, 피해 PC의 메모리(RAM) 상에서 정상적인 프로세스(예: explorer.exe 또는 브라우저 프로세스) 공간에 자신의 코드를 직접 삽입했습니다. 이로 인해 파일 생성 여부를 감시하는 보안 솔루션의 눈을 피할 수 있었습니다.
API 후킹을 통한 은닉: 악성코드는 윈도우의 ntdll.dll 수준에서 시스템 함수를 후킹하여, 자신의 네트워크 연결이나 특정 파일 접근 기록이 시스템 로그에 남지 않도록 가로챘습니다. 이는 포렌식 분석 시 ‘누락된 로그’라는 가시성 공백을 낳았습니다.

(2) LotL(Living off the Land) 기법: 성벽 내부의 무기를 탈취하다

공격자는 외부 도구를 들여오는 위험을 줄이기 위해, 윈도우 시스템에 기본 설치된 정상 바이너리(LoLBins)를 공격 도구로 변조하여 사용했습니다.

certutil.exe 활용: 공격자의 C2 서버에서 암호화된 추가 페이로드를 다운로드하고 베이스64(Base64)로 디코딩하는 데 사용되었습니다. 관제 시스템에서는 ‘정상적인 인증서 관리’로 오인되었습니다.
wmic.exe 및 powershell.exe: 시스템 정보를 수집하고 보안 프로그램의 실시간 감시 기능을 강제로 비활성화하는 데 동원되었습니다. 특히 실행 정책(Execution Policy)을 우회하는 옵션을 사용하여 EDR의 탐지 논리를 정면으로 돌파했습니다.

5. 내부망 확산(Lateral Movement): 서명 인프라를 향한 진격

최초 침투한 단말기를 교두보로 삼은 공격자들의 최종 목표는 ‘가상자산 서명 인프라(Signing Infrastructure)’였습니다. 이 과정에서 보여준 측면 이동 기법은 매우 치밀했습니다.

(1) 자격 증명 탈취 및 권한 상승

LSASS 메모리 덤프: 공격자는 정상적인 관리 도구인 Procdump를 악용하여 메모리 내의 LSASS 프로세스를 덤프했습니다. 여기서 획득한 관리자의 NTLM 해시값을 이용해 별도의 비밀번호 입력 없이 다른 서버로 접속하는 Pass-the-Hash(PtH) 공격을 수행했습니다.
RDP 세션 하이재킹: 이미 활성화된 관리자의 원격 데스크톱(RDP) 세션에 몰래 기생하여 내부망 깊숙이 침투했습니다. 이는 새로운 로그온 기록을 남기지 않기 때문에 전통적인 모니터링 체계를 무력화했습니다.

(2) 포렌식적 분석가의 관점: “남겨진 아티팩트”

비록 공격자가 흔적을 지우려 했으나, 시스템 깊숙한 곳에는 다음과 같은 결정적 증거가 남았습니다.

Shimcache & Amcache: 공격자가 사용한 LoLBins의 실행 기록과 최초 실행 시간이 레지스트리에 기록되어 있었습니다.
Prefetch 파일: 실행 파일의 실행 횟수와 참조한 라이브러리 정보가 담겨 있어, 공격자가 어떤 순서로 도구를 사용하여 보안 설정을 해제했는지 타임라인을 재구성하는 데 결정적 증거가 되었습니다.
Event ID 4624 (Logon Type 3): 네트워크를 통한 비정상적인 로그온 기록이 내부망 서버들 사이에서 연쇄적으로 발견되면서 공격자의 이동 경로가 특정되었습니다.

6. 월렛 체계의 침식: 다중 서명(Multi-sig)은 왜 무력했는가?

가상자산 거래소의 최후 보루는 자산을 보관하는 월렛(Wallet)의 서명 체계입니다. 업비트는 당시 M-of-N Multi-sig와 최신 기법인 MPC(Multi-Party Computation, 다자간 계산)를 병용하고 있었으나, 라자루스는 암호학적 알고리즘을 공격하는 대신 ‘서명 승인 워크플로우(Approval Workflow)’의 논리적 맹점을 정밀 타격했습니다.

(1) 서명 요청 엔진(Signing Request Engine)의 권한 하이재킹

다중 서명의 핵심은 ‘서로 다른 주체가 승인해야 한다’는 것입니다. 그러나 실제 운영 환경에서는 수많은 인출 요청을 처리하기 위해 ‘중앙화된 서명 요청 서버’가 존재합니다.

기술적 허점: 라자루스는 내부망 확산을 통해 이 서명 요청 서버의 관리자 세션과 인증 토큰을 탈취했습니다.
공격 메커니즘: 공격자는 서명 키(Private Key) 자체를 직접 훔치지 않았습니다. 대신, 이미 장악한 서명 요청 서버에 ‘조작된 인출 명령’을 주입했습니다. 시스템은 이 요청이 ‘정당한 관리자’로부터 온 것으로 판단하고, 각 분산 노드에 서명을 생성하라는 RPC(Remote Procedure Call) 명령을 하달했습니다. 즉, ‘서명 도구’는 정상이었으나 ‘서명의 명분’이 해킹된 것입니다.

(2) HSM(Hardware Security Module)의 ‘맹목적 신뢰’ 악용

거래소는 키 탈취를 막기 위해 하드웨어 보안 모듈(HSM)을 사용합니다. 하지만 HSM은 강력한 물리적 보안을 제공할 뿐, 입력된 명령의 ‘정당성’을 판단하는 지능은 없습니다.

시스템적 허점: 라자루스는 HSM과 통신하는 미들웨어(Middleware)의 취약점을 이용했습니다.
공격 수법: 공격자는 HSM 세션이 활성화된 틈을 타, 3,000만 달러에 달하는 대량의 인출 트랜잭션을 짧은 시간 내에 쏟아부었습니다. 이 과정에서 ‘승인 속도’가 ‘검증 속도’를 추월하게 만들었고, 시스템이 일시적인 부하 상태에 빠졌을 때 유효성 검사 로직을 우회하여 서명이 생성되도록 유도했습니다.

7. 3,000만 달러 유출의 결정적 경로: MPC 파편화의 역설

최신 보안 기술인 MPC는 개인키를 조각(Share)내어 여러 서버에 분산 보관합니다. 하지만 라자루스는 이 ‘분산성’을 오히려 역이용했습니다.

(1) 엔드포인트 침투를 통한 키 파편(Key Shares) 수집

MPC 체계에서 서명을 생성하려면 일정 수 이상의 서버가 각자의 파편을 이용해 공동 계산을 수행해야 합니다.

기술적 허점: 라자루스는 수개월에 걸쳐 각기 다른 보안 구역(DMZ, 내부망, 관리망)에 흩어진 MPC 노드 서버들에 개별적인 백도어를 심었습니다. * 포렌식 분석: 사고 후 포렌식 조사 결과, 공격자는 각 노드에서 실행되는 ‘서명 데몬(Signing Daemon)’의 메모리를 직접 조작하여, 원격에서 전송된 조작된 트랜잭션 값에 대해 각 노드가 자발적으로 파편 계산을 수행하게 만들었음이 밝혀졌습니다.

(2) FDS(이상거래탐지시스템)의 ‘화이트리스트’ 사각지대

인프라의 맹점: 거래소는 내부 서비스 간의 원활한 통신을 위해 ‘특정 내부 IP 대역’에서 발생하는 API 호출에 대해서는 FDS 검사 강도를 낮게 설정하는 경향이 있습니다.
우회 전술: 라자루스는 이미 장악한 거래소의 내부 ‘인프라 관리 서버’를 프록시(Proxy)로 활용했습니다. 외부망이 아닌 ‘가장 신뢰받는 내부망’에서 시작된 인출 요청이었기에, 3,000만 달러라는 거액의 이동에도 불구하고 FDS의 경보 알고리즘은 이를 ‘정상적인 자산 재배치’로 오인하고 통과시켰습니다.

8. 소결: “수학은 안전했으나, 시스템은 부패했다”

결국 업비트의 월렛 관리 체계가 무너진 것은 암호학적 알고리즘의 패배가 아닙니다. “어떻게 서명할 것인가”라는 기술적 견고함에만 매몰되어, “누가 서명을 요청하는가”에 대한 인프라 거버넌스를 소홀히 한 결과입니다.

라자루스는 이 ‘신뢰의 연결 고리’를 끊어냈습니다. 키라는 금고 열쇠를 직접 복사하는 대신, 금고를 열라고 명령하는 ‘금고지기의 뇌(관리 서버)’를 하이재킹한 것입니다. 정보보호 전문가로서 우리는 명심해야 합니다. 아무리 완벽한 다중 서명 아키텍처라도, 그것을 운용하는 엔드포인트(Endpoint)와 API 가시성이 확보되지 않는다면 보안은 한낱 모래성에 불과하다는 사실을 말입니다.

9. 자금의 증발: 라자루스의 다단계 온체인 난독화(On-chain Obfuscation)

라자루스 그룹은 탈취한 3,000만 달러의 흔적을 지우기 위해 단순한 전송을 넘어, 블록체인의 투명성을 기술적으로 역이용하는 ‘자금 세탁 아키텍처’를 가동했습니다. 이 과정은 수사 기관의 추적 자동화 도구를 무력화하는 데 최적화되어 있습니다.

(1) 필링 체인(Peeling Chain)의 알고리즘화

기법: 거액의 자산을 수천 개의 하위 지갑으로 쪼개어 보내는 과정을 자동화된 스크립트로 반복합니다.
기술적 목표: 특정 지갑에서 나간 자금의 흐름을 추적하는 ‘오염 분석(Taint Analysis)’에 노이즈를 발생시킵니다. 수천 개의 경로 중 어떤 것이 실제 현금화 경로인지 파악하는 데 막대한 컴퓨팅 자원과 시간을 소모하게 만듭니다.

(2) 체인 홉핑(Chain Hopping)과 브릿지(Bridge) 취약점 악용

기법: 이더리움(ETH) 기반의 자산을 비트코인(BTC), 트론(TRX) 등으로 교환(Swap)하며 네트워크 경계를 넘나듭니다.
기술적 허점: 서로 다른 메인넷을 연결하는 ‘브릿지’ 서비스는 각 네트워크 간의 가시성(Visibility)을 단절시키는 단절점 역할을 합니다. 라자루스는 특히 규제가 약한 군소 탈중앙화 거래소(DEX)를 활용하여 추적의 연결 고리를 끊어냈습니다.

(3) 믹싱(Mixing) 서비스의 수학적 은닉

기법: Tornado Cash와 같은 영지식 증명(ZKP) 기반 믹서를 활용합니다.
한계: 수백 명의 입금액을 하나로 섞어버리는 이 기술은 “누가 누구에게 보냈는가”라는 인과관계를 수학적으로 파괴합니다. 2025년 기준, 이들은 스마트 컨트랙트 내부 로직을 변조하여 믹싱 과정을 더욱 복잡하게 꼬아놓는 수법을 사용했습니다.

10. 블록체인 포렌식의 기술적 한계: ‘가짜 투명성’과의 싸움

우리는 블록체인이 투명하다고 믿지만, 라자루스와 같은 국가 배후 그룹(APT)을 상대할 때는 그 투명성조차 ‘안개’로 변합니다.

수사 공조의 시차(Time Gap): 믹싱된 자금이 최종적으로 CEX(중앙화 거래소)로 유입되어 현금화될 때, 수사 기관이 해당 거래소에 동결 요청을 보내는 사이 공격자는 이미 자금을 인출합니다. 특히 해외 군소 거래소와의 KYC 정보 공유 지연은 추적의 가장 큰 물리적 장벽입니다.
데이터 오염과 거짓 정보: 공격자는 고의로 일부 자금을 유명인의 지갑이나 정상적인 서비스 주소로 보내어 수사관들이 엉뚱한 방향으로 수사력을 낭비하게 만드는 ‘더스트 공격(Dust Attack)’을 병행합니다.

11. 공격자 특정(Attribution)의 난제: ‘디지털 지문’의 조작

NIS(국가정보원)와 같은 국가 기관이 가장 고심하는 부분은 “이것이 정말 북한의 소행인가?”를 입증하는 것입니다. 라자루스는 이를 회피하기 위해 정교한 거짓 깃발(False Flag) 전략을 구사합니다.

(1) TTPs(전술, 기법, 절차)의 고의적 오염

기법: 과거 북한 공격 그룹이 사용하던 코드 패턴을 일부러 노출시키거나, 반대로 러시아 해킹 그룹(예: Cozy Bear)이 자주 사용하는 도구와 코딩 스타일을 모방합니다.
난관: 포렌식 분석관이 “익숙한 악성코드 주석(예: 북한식 어휘)”을 발견했을 때, 이것이 공격자의 실수인지 아니면 수사를 혼선에 빠뜨리기 위한 의도적 배치인지를 판별하는 것은 극도로 어렵습니다.

(2) 인프라 익명화와 언어적 위장

기법: 전 세계에 흩어진 봇넷(Botnet)을 프록시로 활용하여 패킷의 물리적 발신지를 숨깁니다.
위장: 소스코드 내의 타임스탬프를 조작(Timestomping)하여 공격자의 실제 활동 시간대를 숨기고, 주석에 영어나 중국어를 섞어 쓰며 국가 정체성을 은닉합니다.

12. 소결: 추적은 ‘기술’을 넘어선 ‘인내’와 ‘연대’의 영역

결국 라자루스와 같은 APT 그룹을 추적하는 것은 단편적인 포렌식 기술만으로는 불가능합니다. 온체인 데이터의 미세한 비일관성을 찾아내는 예리한 눈, 그리고 전 세계 거래소 및 수사 기관과의 실시간 공조 네트워크가 맞물려야 합니다.

공격자는 완벽한 은닉을 꿈꾸지만, 수천 번의 트랜잭션 중 단 한 번의 ‘인간적 실수’나 ‘논리적 모순’을 남기기 마련입니다. 그 찰나의 흔적을 포착해 국가 안보의 실마리를 찾는 것, 그것이 바로 우리 정보보호 전문가들이 짊어진 숙명입니다.

13. 국가 안보의 패러다임 전환: 가상자산은 제4의 전장(Battlefield)이다

라자루스 그룹의 업비트 공격은 단순한 금융 범죄를 넘어 대한민국의 ‘사이버 영권(Sovereignty)’에 대한 중대한 도전입니다. 정보보호학 전공자로서 우리가 이 사고를 ‘절도’가 아닌 ‘전쟁’으로 규정해야 하는 기술적·전략적 근거는 다음과 같습니다.

(1) 비대칭 전력의 자금원: 가상자산의 무기화

UN 안보리와 국제 정보기관의 보고에 따르면, 북한이 탈취한 가상자산은 대량살상무기(WMD) 및 탄도미사일 개발의 핵심 재원으로 전용됩니다.

기술적 악순환: 우리가 분석한 ‘BeaverTail’이나 ‘Dtrack’ 같은 정교한 악성코드를 개발하는 비용이 바로 우리가 지키지 못한 거래소의 지갑에서 나옵니다. 즉, 보안의 실패가 적의 공격력을 강화하는 ‘자금 순환 고리’를 형성하게 됩니다. 가상자산 보안은 이제 단순한 자산 보호를 넘어 우리 국민의 머리 위를 지키는 ‘사이버 방공망’과 같습니다.

(2) 금융 신뢰 인프라의 마비 및 사회적 교란

국가 배후 그룹은 특정 거래소의 시스템을 붕괴시킴으로써 국가 금융 시스템 전체에 대한 불신을 조장합니다.

하이브리드전(Hybrid Warfare): 자산 가치의 폭락과 대규모 인출 사태(Bank Run)를 유도하여 사회적 혼란을 야기하는 것은 적대국이 노리는 전형적인 ‘심리적 타격’의 일환입니다. 데이터의 무결성을 무너뜨려 경제적 근간을 흔드는 행위는 물리적 테러만큼이나 치명적입니다.

14. 거버넌스의 혁신: 민·관 협력 모델(ISAC)과 실시간 공조 체계

국가 주도의 APT 공격은 단일 기업의 방어 역량을 초월합니다. 이제는 정보를 독점하는 관료주의적 보안이 아닌, ‘공유와 연대’를 통한 입체적 방어 체계가 필수적입니다.

(1) 가상자산 전용 ISAC(정보공유분석센터)의 기술적 가동

민간 거래소와 정부(NIS, KISA), 수사 기관이 유기적으로 맞물리는 가상자산 특화 ISAC 모델을 제안합니다.

실시간 IoC(침해지표) 전파: 한 거래소에서 탐지된 라자루스의 피싱 도메인이나 악성 DLL의 해시(Hash) 값이 즉시 전국의 모든 금융 노드에 공유되어야 합니다. 1분 이내에 전사적 차단(Blacklist)이 완료되는 ‘자동화된 위협 인텔리전스’가 핵심입니다.
자금 세탁 골든타임 사수: 믹싱(Mixing)이나 홉핑(Hopping)이 시작되기 전, 블록체인 포렌식 팀과 국제 수사 기관(Interpol, FBI 등)이 핫라인을 통해 자금을 동결할 수 있는 법적·기술적 거버넌스를 우리 국가 기관이 주도해야 합니다.

(2) ‘포렌식 준비도(Forensic Readiness)’의 법적 제도화

국가 안보와 직결된 주요 가상자산 사업자들에게는 사고 후 수습이 아닌, 상시적인 ‘디지털 증거 보존 체계’를 의무화해야 합니다.

가시성(Visibility)의 상향 평준화: 공격자가 내부망에 침입했을 때, 그 경로를 즉각적으로 역추적할 수 있는 정교한 로깅 시스템을 구축하고 이를 국가 안보 가이드라인에 따라 점검해야 합니다.

15. 결론: 국가의 방패, 데이터의 진실을 수호하는 안보 전문가의 길

쿠팡의 개인정보 유출부터 EchoLeak AI 에이전트 사고, 그리고 라자루스 그룹의 국가적 도발까지. 우리는 지난 분석을 통해 지능형 위협이 우리의 일상과 국가 안보를 어떻게 파고드는지 목격했습니다.

🔍 마치며

사고를 해체하며 제가 가슴 깊이 새긴 것은, 보안 전문가의 진정한 무기는 화려한 해킹 기술이 아니라 “반드시 범인의 흔적을 찾아내 국가와 국민을 지키겠다”는 집요한 사명감이라는 사실입니다.

데이터는 결코 침묵하지 않으며, 정의로운 포렌식은 적의 정체를 반드시 밝혀낼 것입니다. 지능형 위협이 일상이 된 시대, 대한민국 사이버 안보의 최전선은 제가 지키겠습니다.

“데이터의 진실로 국가를 수호하겠습니다.”

보안, 사고분석