"돈만 내면 해커된다"…서비스형 랜섬웨어 북한 해킹서 '발견'

북한이 사이버 해킹 과정 일부를 외주화한 정황이 확인됐다. 마이크로소프트(MS)는 북한이 사이버 해킹하는 과정에서 '서비스형 랜섬웨어'(RaaS)의 제휴자로 참여한 첫 사례가 확인됐다고 밝혔다.

17일 MS의 연례 '2025 디지털 방어 보고서'에 따르면 'MS 위협 인텔리전스'는 북한의 한 해커가 처음으로 서비스형 랜섬웨어 제휴자로 참여한 사례를 관찰했다. 이와 관련해 보고서는 "북한이 랜섬웨어 사이클의 일부를 외주화해 자체 자원을 표적에 침투하는 활동에 집중할 수 있도록 한다"며 북한의 랜섬웨어 공격 증가로 이어질 수 있다"고 내다봤다.

서비스형 랜섬웨어란 랜섬웨어는 서비스처럼 판매하는 모델을 뜻한다. 개발자가 해킹에 필요한 랜섬웨어를 '제작 대행'하는 것이다. 이를 이용하면 기술력이나 전문지식이 없는 사람도 쉽게 해킹을 할 수 있다.

아울러 보고서는 "무기 체계와 관련된 지식재산(IP)을 수집하기 위한 (북한의) 피싱 작전의 증가도 관찰했다"고 짚었다. 보고서는 올해 북한 해커들이 클라우드 인프라를 이용해 C2(명령·제어) 인프라를 숨기는 사례도 관찰했다고 설명했다.

보고서는 "이는 방어자들의 공격 탐지와 차단을 더 어렵게 만드는 것으로, 북한의 정교함이 발전하고 있다는 뜻"이라며 "아직 초기 단계의 경향성을 보이지만 이는 북한의 해커들이 방어망을 회피할 새로운 방법들을 탐색하고 있음을 시사하는 신호일 수 있다"고 강조했다.

보고서에 따르면 북한의 해킹 공격은 IT 관련 분야나 학계, 싱크탱크 등에 주로 나타났다. IT 업계에 대한 공격이 33%로 가장 많았다. 이어 연구·학문 분야가 15%, 싱크탱크·비정부기구(NGO)가 8% 순이었다. 그 밖에 유통(7%), 금융(5%), 제조업(4%) 등에 대한 공격도 확인됐다.

북한의 사이버 공격을 가장 많이 받은 국가는 미국(50%)이었다. 그 외에도 이탈리아(13%), 호주(5%), 영국(4%) 등도 북한의 해킹 공격 대상이었다. 한국을 대상으로 한 공격은 1%로 나타났다.

보고서는 북한의 해커들이 블록체인 기술, 암호화폐 관련 조직이나 국방·제조업 등에 대한 공격에 초점을 맞추고 있다고 분석했다. 또한 동아시아 정책과 관련한 기관·대학·정부 부처 등을 우선 공격 대상으로 삼았다.

특히 아시아·태평양 지역에서는 중공업 분야와 한국 내 다양한 조직 전반에 관심을 보인다고 봤다. 보고서는 이 같은 움직임이 "수익 창출과 정보 수집이라는 이들의 임무를 반영한다"고 강조했다.

보고서는 이 밖에도 올해 북대서양조약기구(NATO·나토) 회원국에 대한 러시아의 사이버 공격이 늘어났다고 분석했다. 러시아의 사이버 공격 빈도가 높은 상위 10개국 중 9개국이 나토 회원국이었던 것. 1위는 미국(20%)으로 이후 영국(12%), 독일(6%), 벨기에(5%), 이탈리아(3%) 등이 뒤를 이었다. 러시아와 전쟁 중인 우크라이나가 11%로 3위를 차지해 나토 비회원국으로는 유일하게 순위권에 들었다.

영국 일간 가디언은 "전문가들은 러시아가 나토 회원국을 상대로 하이브리드 전쟁을 수행하고 있다고 경고해왔다"며 러시아의 사이버 공격 증가에 시사점이 있다고 설명했다.

박수빈 한경닷컴 기자 waterbean@hankyung.com