TTESays

[Hackyboiz 해킹짹짹 x TTE] 하늘을 향한 전쟁은 이미 시작되었다.

Donghwi Shin

Published: 08:30, 05 May 2026 (Updated: 02:38, 17 May 2026)

Hackyboiz 해킹찍짹

Hackyboiz Brief — 라자루스는 왜 드론 산업을 겨냥했는가

드론은 더 이상 하늘을 나는 작은 기계가 아니다. 우크라이나 전쟁 이후 드론은 정찰, 타격, 교란, 표적 식별, 전장 감시를 연결하는 핵심 무기 체계가 되었다. 과거의 드론이 특정 임무를 보조하는 장비였다면, 지금의 드론은 전장의 시야를 넓히고, 공격의 비용을 낮추며, 군사 작전의 속도를 바꾸는 플랫폼으로 변화한 것이다. 따라서 드론을 만든다는 것은 단순히 기체를 조립하는 일이 아니다. 이제 드론을 생산한다는 것은 설계, 소재, 배터리, 추진 장치, 센서, 통신 링크, 항법 장치, 펌웨어, 지상통제 시스템, 운용 데이터 등을 하나의 체계로 묶는 일이다.

Hackyboiz가 소개한 라자루스의 드론 산업 공격( 🛬 하늘을 향한 전쟁은 이미 시작되었다. )은 바로 이 지점에서 중요하다. 이번 사건은 북한 해킹 조직이 또 한 번 방산 기업을 공격했다는 뉴스로만 읽기 어렵다. ESET은 2025년 10월 23일 공개한 내용을 살펴보면 라자루스와 연계된 Operation DreamJob의 새로운 흐름을 설명하며, 중앙·남동유럽의 방산 관련 기업들이 공격 대상이 되었고 그중 일부가 UAV, 즉 드론 산업과 깊이 연결되어 있다고 밝혔다. ESET은 공격의 주요 목적을 독점 정보와 제조 노하우 탈취로 바라보았다.

이번 Operation에서 중요한 것은 표적의 성격이다. 라자루스가 노린 것은 단순한 회사 내부 문서나 계정 정보가 아니다. 공격 대상에는 남동유럽의 금속공학 회사, 중부유럽의 항공기 부품 제조업체, 중부유럽의 방산 회사가 포함되었으며 ESET은 이들기업이 생산하는 장비나 부품 중 상당수가 유럽 국가들의 군사 지원을 통해 우크라이나에 배치된 무기 체계와 관련되어 있다고 분석했다.

즉 이번 공격은 사이버 공간에서 벌어진 첩보 활동이지만, 그 목적지는 물리적 전장과 맞닿아 있다. 라자루스가 탈취하고자 한 것은 단순한 데이터가 아니라 드론을 더 빠르게 만들고, 더 정확하게 운용하며, 시행착오 없이 기술 수준을 끌어올릴 수 있는 압축된 경험이다. 이 관점에서 보면 드론 산업을 겨냥한 사이버 공격은 정보 탈취가 아니 시간 탈취에 가깝다. 공격자는 기술을 훔치는 동시에, 그 기술을 얻기까지 필요한 실패와 실험의 시간을 훔친다.

Attack Deconstruction — 공격은 어떻게 채용 제안에서 기술 탈취로 이어졌는가

Operation DreamJob이라는 이름에서 알 수 있듯이, 라자루스의 공격은 기술보다 먼저 사람을 향한다. ESET은 이번 공격의 초기 접근이 거의 확실하게 사회공학 방식으로 이루어졌다고 분석했다. Operation DreamJob은 매력적인 채용 제안이나 직무 설명 문서를 미끼로 악성코드를 배포한다. 대상자는 가짜 채용 제안을 받고, 이를 확인하기 위해 문서나 리더 프로그램을 실행한며 그 순간 채용 절차처럼 보였던 행위는 악성코드 실행 흐름으로 바뀐다.

이 구조가 위험한 이유는 피해자가 낯선 행동을 한다고 느끼지 않기 때문이다. 방산, 항공, 엔지니어링 분야의 인력에게 채용 제안이나 프로젝트 제안은 일상적인 업무 흐름이기 때문이다. 포트폴리오를 확인하고, 기술 문서를 열고, 특정 도구를 설치하거나 실행하는 과정은 그들에게 익숙한 행동이라는 것이다. 공격자는 바로 이 정상성을 이용한다. 해킹은 더 이상 시스템의 약한 구멍을 찾는 방식으로만 시작되지 않는다. 정상 업무 절차를 공격 절차로 바꾸는 방식으로 시작된다.

ESET은 이번 공격을 Operation DreamJob의 새로운 물결로 판단한 근거로 사회공학 기법, GitHub 오픈소스 프로젝트의 트로이화, 그리고 ScoringMathTea 배포를 제시했다. 공격자는 GitHub에서 구할 수 있는 오픈소스 프로젝트에 악성 코드 로딩 루틴을 섞어 넣었다. 이는 탐지를 피하기 위한 단순한 위장이 아닌 피해자가 신뢰할 수 있는 개발, 업무 환경 자체를 공격 체인으로 바꾸는 방식이다.

최종 페이로드로 사용된 ScoringMathTea는 원격접근 트로이목마, 즉 RAT이다. ESET은 ScoringMathTea 악성코드가 감염된 시스템은 공격자에게 완전한 제어권을 제공한다 설명했다. 또한 ScoringMathTea는 약 40개의 명령을 지원하는 복잡한 RAT이며, 2022년 10월 포르투갈과 독일에서 VirusTotal에 제출된 Airbus 테마의 채용 미끼 드롭퍼를 통해 처음 추적될 수 있다고 밝혔다.

이 공격 흐름을 단순화하면 세 단계로 볼 수 있다. 첫째, 공격자는 채용 제안이라는 신뢰 가능한 접점을 만든다. 둘째, 정상 도구처럼 보이는 파일이나 오픈소스 프로젝트를 통해 악성 로더를 실행한다. 셋째, 최종적으로 ScoringMathTea를 배포해 감염 시스템을 장악하고 필요한 정보를 빼낸다. 겉으로는 채용 과정이고, 기술적으로는 로더와 RAT의 체인이며, 전략적으로는 방산 기술을 확보하기 위한 첩보 작전이다.

TTE Insight — 드론은 왜 ‘무기’가 아니라 ‘데이터가 축적된 플랫폼’인가

이번 사건을 이해하기 위해서는 드론을 완성품이 아니라 축적된 지식의 집약체로 바라봐야 한다. 드론 한 대에는 기체 설계와 소재 선택, 센서 배치, 통신 방식, 전력 효율, 항법 알고리즘, 제어 소프트웨어, 지상통제 시스템, 정비 경험, 운용 로그 등이 함께 들어 있다. 그러므로 드론의 성능을 단순히 얼마나 멀리 날 수 있는지, 얼마나 큰 폭발물을 실을 수 있는지로만 결정하지 않는다. 실제 전장에서 어떤 환경에서 추락할 수 있는지, 어떤 주파수 대역에서 교란에 취약한지, 어떤 방식으로 운용해야 탐지 가능성을 낮출 수 있는지 같은 경험이 누적되며 안정화 수준까지도 드론의 성능을 평가하는 지표라 할 수 있다.

바로 이 때문에 드론 산업의 지식은 군사적으로 높은 가치를 갖는다. 설계도를 훔치는 것은 시작일 뿐이다. 제조 공정과 부품 조달 구조를 알면 생산 실패를 줄일 수 있고, 펌웨어와 제어 체계를 이해하면 운용 방식을 모방하거나 방해할 수 있다. 운용 데이터를 확보하면 실험실에서 얻기 어려운 전장 검증 정보를 얻을 수 있다. 결국 드론 기업을 해킹한다는 것은 장비 하나를 훔치는 일이 아니라, 그 장비를 가능하게 만든 시행착오의 기록을 가져가는 일이다.

ESET이 주목한 것도 이 지점이다. ESET은 북한이 국내 드론 제조 역량을 확대하려는 흐름과 공격은 연결되는 것으로 판단했다. 또한 북한이 자국 UAV 역량을 개발하는 과정에서 역공학과 지식재산 탈취에 크게 의존해 왔다고 설명했다. ESET 연구원 Peter Kálnai는 이번 Operation DreamJob이 적어도 부분적으로는 UAV 관련 독점 정보와 제조 노하우를 훔치려는 목적이 있었을 가능성이 높다고 보았고, 드롭퍼에서 관찰된 드론 관련 언급이 이 가설을 강화한다고 설명하고 있다.

더 중요한 대목은 표적 기업과 전장의 연결이다. ESET의 Alexis Rapin은 표적 중 하나가 현재 우크라이나에서 사용되는 최소 두 종류의 UAV 모델 생산과 관련되어 있다는 증거를 발견했다고 밝혔다. 또한 해당 기업은 평양이 개발 중인 것으로 알려진 고급 단일 로터 드론의 공급망과도 관련되어 있다고 설명했다.

이 문장은 이번 기사의 핵심을 보여준다. 라자루스가 노린 것은 막연한 미래 기술이 아니다. 이미 전장에서 사용되고 있고, 북한이 러시아 전선에서 접했을 가능성이 있으며, 자국 드론 프로그램을 고도화하는 데 도움이 될 수 있는 기술이다. 사이버 공격은 여기서 연구개발의 우회로가 된다. 직접 실험하고 실패하며 축적해야 할 시간을, 타인의 제조 경험과 운용 데이터를 통해 단축하려는 것이다.

What This Changes — 우리는 방산 보안을 어디까지 보고 있는가

이번 사건이 던지는 질문은 단순히 “라자루스를 어떻게 막을 것인가?”로 국한하면 안된다. 보다 근본적인 질문은 “우리는 방산 보안의 범위를 어디까지 보고 있는가?”라고 할 수 있다. 방산 보안을 대형 방산 기업의 내부망 보호나 군사 기밀 문서 관리 정도로만 이해한다면, 이번 사건의 의미를 놓친다. 공격자는 반드시 최상위 방산 기업만 노리지 않는다. 금속공학 회사, 항공 부품 제조사, 소프트웨어 공급업체, 오픈소스 도구, 플러그인, 채용 프로세스, 협력사 PC까지 모두 공격 표면이 된다. 이와 같은 상황은 다음과같은 변화를 만들고 있다.

첫 번째 변화는 공급망의 의미다. 과거 공급망 보안은 주로 부품 조달이나 소프트웨어 업데이트 문제로 이해되었다. 그러나 드론 산업에서 공급망은 훨씬 넓다. 특정 센서를 누가 만들었는지, 어떤 항공 부품이 사용되는지, 어떤 개발 도구가 쓰이는지, 어떤 협력사가 펌웨어를 다루는지, 어떤 엔지니어가 어떤 문서를 열람하는지가 모두 공격 경로가 될 수 있다. 라자루스의 공격은 이 전체 구조를 이해하고 겨냥하고 있다.

두 번째 변화는 채용과 협업 프로세스의 보안이다. Operation DreamJob은 기술적 취약점보다 사람과 업무 흐름을 먼저 이용한다. 채용 제안을 받고, 문서를 열고, 과제를 수행하고, 도구를 설치하는 과정은 기업 내부에서 흔히 일어나는 정상 활동이다. 그러나 바로 그 정상적인 활동이 공격자에게 무기가 된다. 보안은 이제 방화벽과 백신의 문제가 아니라, 조직이 외부와 관계를 맺는 방식의 문제가 된다.

세 번째 변화는 전쟁과 산업의 경계다. 드론은 민간 산업과 군사 산업의 경계에 서 있는 기술이다. 같은 기체와 부품, 같은 센서와 통신 기술이 물류, 농업, 재난 대응, 감시, 군사 작전에 모두 쓰일 수 있다. 따라서 드론 기업을 공격하는 행위는 특정 군사 조직을 공격하는 것과 다르게 보일 수 있지만, 실제로는 국가의 군사 역량과 직결될 수 있다.

위와 같은 상황은 우리나라에도 그대로 적용할 수 있다. 우리나라는 드론, 로봇, 배터리, 센서, 항공 부품, 방산 소프트웨어 산업들을 동시에 부양하고 있다. 그러나 산업을 국가 안보의 일부로 보호하고 있는지는 별개의 문제다. 기술 경쟁력이 높아질수록 그 기술을 노리는 공격도 정교해진다. 그리고 공격자는 꼭 완성품을 훔치려 하지 않는다. 설계 방식, 제조 공정, 테스트 데이터, 실패 기록, 협력사 목록, 엔지니어의 업무 흐름을 훔치는 것만으로도 충분한 가치를 얻을 수 있기 때문이다.

결론 — 하늘의 전쟁은 하늘에서만 시작되지 않는다

Hackyboiz가 소개한 이번 라자루스 사례는 하나의 해킹 사건이 아니라, 전쟁의 방식이 어떻게 바뀌고 있는지를 보여주는 사례다. 하늘을 향한 전쟁은 드론이 이륙하는 순간 시작되지 않는다. 그것은 채용 메일이 도착하는 순간, 개발자가 문서를 여는 순간, 오픈소스 도구가 실행되는 순간, 협력사 네트워크에서 설계 파일이 오가는 순간 이미 시작된 것으로 판단해야 한다.

기존 협업 기사에서 AI 심리상담사 사례가 “신뢰가 어떻게 데이터 수집 구조로 바뀌는가”를 보여주었다면, 이번 라자루스의 드론 산업 공격은 “공급망이 어떻게 전장 기술 탈취 구조로 바뀌는가”를 보여준다. AI 상담 서비스에서 사용자의 고백이 데이터가 되었듯, 드론 산업에서는 기업의 제조 경험과 운용 지식이 군사 자산이 된다. 개인정보 문제가 신뢰의 문제였다면, 이번 사건은 기술과 시간이 전쟁 능력으로 전환되는 문제다.

드론 보안은 이제 기체를 해킹으로부터 보호하는 문제에 머물 수 없다. 드론을 만들 수 있는 능력, 더 빨리 개량할 수 있는 능력, 전장에서 얻은 데이터를 다시 설계에 반영할 수 있는 능력을 보호하는 문제로 확장되어야 한다. 라자루스가 노린 것은 바로 그 능력이다. 그리고 그 능력이 네트워크 안에 저장되어 있는 한, 하늘의 전쟁은 네트워크에서 먼저 시작된다.