북한이 사이버 공격 수법을 한층 고도화하고 있다. 





MS가 17일 공개한 ‘2025 디지털 방어 보고서’에 따르면, 자사 위협 인텔리전스팀은 북한 해커가 ‘서비스형 랜섬웨어’(RaaS·Ransomware-as-a-Service) 생태계에 제휴자로 참여해 공격 일부를 외주화하는 움직임을 포착했다.

보고서는 “북한이 자원을 효율적으로 배분해 침투 활동에 집중하려는 전략”이라며 “랜섬웨어 공격의 빈도와 정교함이 더 높아질 수 있다”고 경고했다.

MS는 북한이 무기 체계 관련 지식재산(IP)을 탈취하기 위한 피싱 공격을 강화하고 있으며 클라우드 인프라를 활용해 명령·제어(C2) 서버를 은폐하는 사례도 확인했다고 밝혔다.

이는 공격 탐지와 차단을 더욱 어렵게 만들어 방어망 회피 기술이 고도화되고 있음을 보여준다.

MS는 북한의 해킹 표적이 IT(33%), 학계(15%), 싱크탱크 및 비정부기구(8%) 등으로 집중돼 있다고 분석했다.

국가별로는 미국이 전체의 절반(50%)을 차지해 가장 많은 공격을 받았다. 이탈리아(13%), 호주(5%), 영국(4%) 등이 뒤를 이었고 한국은 전체의 1% 수준으로 집계됐다.

보고서는 북한이 블록체인·암호화폐, 국방·제조업, 동아시아 정책 관련 기관을 주요 표적으로 삼고 있으며, 이는 외화벌이와 정보 수집이라는 이중 목적을 동시에 추구하고 있는 것으로 풀이된다.

또 북한이 사이버 범죄 생태계와 협업해 공격을 외주화하는 사이버 용역 모델도 확장 중인 것으로 조사됐다.

실제로 북한 국적의 원격 IT 근로자들이 서방 기업에 위장 취업해 급여를 정권에 송금하거나 기업 내부망에 침투하는 사례가 다수 포착됐으며 신분이 드러나면 기업을 상대로 협박하는 사례도 나타났다.

MS는 이러한 행태가 북한이 해킹 기술과 자금을 분리해 효율적인 사이버 공격 운영 모델을 구축하고 있음을 보여준다고 분석했다.

보고서는 "북한이 사이버 범죄 생태계를 더욱 적극적으로 활용할 경우 공격 주체의 식별이 훨씬 복잡해지고 책임 추적이 어려워질 수 있다"고 설명했다.

한편 올해 러시아의 사이버 공격도 증가해, 공격 빈도 상위 10개국 중 9곳이 북대서양조약기구(NATO) 회원국으로 나타났다.