북한 해커 '라자루스 그룹', 오픈소스 소프트웨어 노린다

[시큐리티팩트=최석윤 기자] 북한의 악명 높은 해킹 조직 '라자루스 그룹'이 오픈소스 소프트웨어를 무기 삼아 공격을 강화하고 있다고 30일(현지 시각) 디벨로퍼가 보도했다. 소프트웨어 공급망 보안 전문 기업 소나타입(Sonatype)의 보고서에 따르면, 이들은 겉으로는 정상으로 보이는 소프트웨어 패키지 안에 악성 코드를 숨겨 개발자들로부터 핵심 비밀을 훔치고 있다. 이른바 '공급망 공격'이다.

2025년 초부터 소나타입의 연구원들은 라자루스 그룹과 연결된 악성 패키지 234개를 발견했다. 잠재적 피해자는 3만 6000 명이 넘는다. 현관문을 부수고 침입하는 대신, 라자루스 그룹은 우리가 매일 신뢰하며 쓰는 소프트웨어를 통해 '초대받아' 들어오고 있는 셈이다. 오픈소스의 근간인 '커뮤니티와 신뢰'가 국가 후원 해킹의 도구로 변질되고 있다.

'오래된 트릭'의 진화.. 소프트웨어 공급망 노리기

이런 방식이 아주 새로운 건 아니라고 보안 기업 시큐어플래그(SecureFlag)의 이사 에밀리오 피나는 말한다. 그는 "우리는 솔라윈즈, 코드코브, npm 이벤트 스트림 침해 사건에서 이미 이를 확인했다"고 설명했다. "공격자들은 조직에 직접 침입하는 것보다 소프트웨어 공급망을 통해 '초대받아' 들어가는 게 가장 쉬운 방법이라는 걸 깨달았다"고 덧붙였다. npm은 자바스크립트(Javascript) 프로그래밍 언어를 위한 세계에서 가장 큰 '패키지 매니저'이자 '소프트웨어 저장소'이다.

미국 정보기관에 '히든 코브라'로도 알려진 라자루스 그룹은 길고 파괴적인 해킹 역사를 가지고 있다. 2014년 소니 픽처스 해킹, 방글라데시 은행 10억 달러 강도 시도, 그리고 전 세계를 강타한 워너크라이(WannaCry) 랜섬웨어 사태의 배후에 이들이 있었다. 최근에는 가상자산 거래소 바이비트(ByBit)에서 발생한 15억 달러 규모의 암호화폐 도난 사건에도 연루됐다. 이제 이들은 요란하고 파괴적인 공격에서 벗어나, 조용하고 장기적인 침투로 전략을 바꿨다. 소프트웨어 공급망이 주요 표적이 된 이유다.

교묘한 속임수, 개발자를 유혹하다

라자루스 그룹 해커들은 npm 및 PyPI 코드 저장소(레지스트리)를 노린 최신 캠페인에서 높은 수준의 규율과 교묘한 속임수를 보여준다. 이들은 유명 소프트웨어 라이브러리의 이름을 교묘하게 바꿔 쓰거나(철자 오류), 신뢰할 수 있는 도구의 이름을 도용하는 '브랜드 재킹(Brand Jacking)' 수법을 쓴다.

윈스턴 로거(winston logger)나 노드메일러(nodemailer) 같은 유명 도구를 사칭하다가 적발되기도 했다. 한 사례에서는 'servula'와 'velocky'라는 가짜 패키지를 만들었는데, 이는 다른 인기 도구인 'pino'의 설명 파일을 그대로 복사해 마치 합법적인 파생 상품처럼 보이게 하려 했다.

피나는 "npm 및 PyPI 패키지를 오염시킴으로써 소스(시작점)에서 개발자와 CI/CD 파이프라인(소프트웨어 개발 자동화 시스템)을 표적으로 삼고 있다"고 말한다. "악성 코드가 빌드 시스템(소프트웨어 제작 과정)에 들어가면, 해당 파이프라인이 제품을 만드는 열쇠를 쥐고 있는 경우가 많기 때문에 사실상 게임은 끝난다."

개발자가 오염된 패키지를 다운로드하면, 조용하고 다단계적인 공격이 시작된다.

먼저 '드로퍼(dropper)'라는 작은 스크립트가 원격 서버에 접속해 실제 악성코드를 다운로드한다. 이는 패키지가 자동화된 보안 스캐너를 통과하는 데 도움이 된다.

다음으로, 교묘하게 위장된 '로더(loader)' 프로그램이 배포된다. 이 로더는 자신이 보안 분석 환경 안에 있는지 확인한다. 감시당하고 있다고 의심되면 탐지를 피하기 위해 스스로 종료된다. 아무 이상이 없다고 판단되면 여러 가지 악성 도구를 배포하는데, 각 도구는 별도의 프로세스로 실행되어 하나가 발각되어도 다른 도구들은 계속 작동할 수 있다.

암호화폐 대신 '신뢰'를 채굴한다

라자루스 그룹 해커들의 이번 캠페인은 컴퓨터를 탈취해 암호화폐를 채굴하는 것이 아니다. 그들의 목표는 절도다. 보고서에 따르면 90개 이상의 패키지가 비밀번호, API 토큰, 사용자 인증 정보(자격 증명) 같은 '비밀'을 훔치기 위해 만들어졌다.

피나는 "암호화폐 채굴에서 스파이 활동으로의 전환은 누구도 놀라지 않을 것"이라고 덧붙인다. 그는 "자격 증명을 훔치고, 원격 셸(원격 제어)을 설치하고, 몇 달 동안 조용히 잠복할 수 있는데 굳이 컴퓨팅 파워를 낭비할 이유가 없지 않은가?"라고 전했다.

소나타입 보고서는 "도난당한 자격 증명은 최종 목표가 아니다. 이는 소스 코드 저장소, 클라우드 인프라, 그리고 내부 네트워크에 대한 접근 권한을 얻는, 이른바 '왕국을 여는 열쇠'다"라고 강조했다.

배포된 악성 도구에는 클립보드 스틸러(복사한 내용을 훔치는), 암호 수집기, 심지어 전체 감시를 위한 키로거(키보드 입력 기록) 및 화면 캡처 유틸리티까지 포함된다.

오픈소스 코드, 어떻게 방어해야 하나?

이번 공격은 오픈소스가 사이버 전쟁의 새로운 최전선이며, 개발자가 그 최전선의 '군인'이라는 분명한 신호다. 이에 맞서기 위해 기업은 여러 겹의 방어 체계를 갖춰야 한다.

즉, 방화벽을 이용해 악성 패키지가 침입하기 전에 막고, 설치 가능한 소프트웨어에 대한 규칙을 더 엄격히 적용하며, 이미 사용 중인 소프트웨어를 정기적으로 감사해야 한다. 그러나 도구만으로는 해결되지 않는다. 피나는 진짜 문제는 '문화적'이라고 주장한다.

"우리는 데브옵스(DevOps) 문화를 위해 편리함을 허용했고, 아무 생각 없이 외부 의존성(라이브러리 등)을 끌어들인다. CI/CD 파이프라인은 신뢰할 수 없는 코드를 위한 '신뢰할 수 있는 컨베이어 벨트'가 되어 버렸다"고 피나는 경고했다. "파이프라인을 엄격한 패키지 허용 목록, 무결성 검증, 의미 있는 모니터링을 통해 보안에 중요한 시스템으로 취급할 때까지, 국가 해커들이 암호화폐가 아닌 '신뢰'를 계속 채굴하는 것을 보게 될 것이다."

"이 간극을 좁히려면 도구 이상의 것이 필요하다. 엔지니어를 위한 실제적인 보안 교육과 파이프라인에 대한 실질적인 위협 모델링 연습이 필요하다. 그래야 팀이 이런 공격이 발생하기 전에 예측할 수 있다."

라자루스 그룹의 이번 캠페인은 디지털 세계가 구축된 '신뢰'가 어떻게 우리에게 불리하게 돌아설 수 있는지를 다시 한번 상기시켜 준다.

최석윤 기자 sukyoon@securityfact.co.kr 이 기자의 다른 기사 보기