더 발전한 비버테일, 128겹 안전 장치로 무장

정보 탈취를 목적으로 한 멀웨어인 비버테일(BeaverTail)이 새롭게 등장했다. 이전부터 악명을 떨쳐온 멀웨어인데, 이번에 변종이 새롭게 출몰한 것이다. 보안 기업 다크트레이스(Darktrace)가 이를 추적한 결과를 오늘 발표했다. 이번 비버테일 변종 캠페인의 배후에는 북한의 라자루스(Lazarus)가 있다고 한다.

비버테일 감염 경로

이번 비버테일은 가짜 구인 메일을 통해 퍼졌다고 다크트레이스는 보고서를 통해 밝혔다. “비버테일은 초창기에 주로 링크드인이나 엑스, 텔레그램 상에서 개인 메시지 형태로 퍼졌습니다. 주로 ‘블록체인 프로젝트 협업 제안’이라든가 ‘프리랜서 개발 의뢰’와 같은 내용으로 피해자들을 속였고요. 그 다음에는 깃허브(GitHub)나 npm과 같은 개발자 플랫폼들을 악용했습니다. 이 때는 유용한 오픈소스 도구인 것처럼 위장돼 있었습니다. 아무나 다운로드 받아가라고 한 것이죠.”

채용에 관심이 있어 접근한 것처럼 보이는 메일을 피해자가 열어보면, ‘당신이 가진 기술과 실력을 높이 평가한다’는 식의 내용을 읽을 수 있고, ‘서로를 더 자세히 알아보기 위해 면접을 보자’는 제안이 덧붙어 있음을 알 수 있다. 이른 바 ‘기술 면접’ 제안인 것이다. 여기에는 한 가지 조건이 붙어 있다. 면접을 위해 미로토크(MiroTalk)나 프리컨퍼런스(FreeConference)와 같은 도구를 설치해야 한다. 피해자는 면접을 위해서 별 의미없이 여기에 응한다. 하지만 설치되는 건 공격 도구인 비버테일이다.

어떤 정보 훔쳐가나?

라자루스가 ‘구직’과 ‘채용’을 미끼로 피해자에게 접근해 ‘기술 면접’을 요청한다는 점에서 피해자들이 주로 어떤 부류인지 짐작하는 게 어렵지는 않다. 개발자나 엔지니어 등 ‘기술적인 전문성’을 가진 사람들이다. 이런 사람들에게 접근했다는 건, 이런 사람들이 주로 다루는 정보에 관심이 있다는 의미가 된다.

“원래 비버테일 운영자들은 브라우저 프로필을 집중적으로 노려왔습니다. 그러다가 2025년 초부터는 피해자 클립보드에 복사되는 모든 내용을 탈취하는 쪽으로 바뀌었습니다. 그보다 더 최신 버전은 키로깅 기능까지 갖추고 있으며, 피해자 데스크톱 화면을 4초에 한 번씩 캡쳐하기도 합니다. 점점 더 공격적으로, 점점 더 많은 정보를 가져가는 쪽으로 진화하고 있다고 볼 수 있습니다.” 이런 기술을 통해 비버테일은 브라우저 크리덴셜, 신용카드 정보, 암호화폐 지갑 키를 바깥으로 빼돌렸다. 

감염 수법만 진화한 것 아니다

이번 비버테일은 기존 버전보다 탐지가 훨씬 더 어렵기도 하다. 다크트레이스의 보고서에 따르면 “라자루스 공격자들이 VS코드(VS Code) 플러그인과 NPM 패키지 안에 악성코드를 숨기기 시작했”기 때문이라고 한다. “게다가 그 악성코드가 모듈형으로 구성돼 있고, 각종 플랫폼과도 호환되기 때문에 공격력 측면에서는 향상되기도 했습니다. 피해는 더 많이 끼치는데 탐지하기는 더 어려워진 것이죠.”

다크트레이스는 이번 샘플을 분석하면서 악성코드 내에 탑재돼 있는 은닉 기술들을 전부 세었다고 한다. “총 128개가 나왔습니다. 탐지에 걸리지 않게 하거나 분석을 방해하는 기술이 128종 사용된 건 아닙니다만, 여러 가지가 중첩되고 반복되면서 128개 층을 구성하고 있었습니다. 문자열 암호화, 환경 탐지 결과에 따른 실행 여부 결정, 지연 실행, 동적 코드의 실시간 생성 등이 끝없이 이어져 분석하는 데에도 적잖은 노력을 들여야 했습니다.”

이토록 두터운 보호 층은 비버테일 이전 버전들에서 전혀 볼 수 없는 특성이었다. 분석가들의 추적을 더 고생스럽게 만들고, 따라서 방어에 들어가는 비용을 높이게 하기 위한 것이라고 다크트레이스는 해석하고 있다. “이 정도로 보호돼 있으면 분석하는 데 최소 며칠은 걸립니다. 자동 분석 기술도 잘 통하지 않고요. 그러는 동안 비버테일 확산 캠페인은 안전하게 진행될 수 있습니다.”

비버테일 = 라자루스

현재까지 비버테일을 사용하는 건 라자루스뿐이라고 해도 과언이 아니다. 적어도 라자루스 외 다른 국가의 해킹 그룹이 비버테일을 활용하고 있다는 명확한 증거가 나온 적은 없다. 그래서 그런지 라자루스도 이 비버테일을 장기적으로 가다듬고 부지런히 업그레이드시키고 있다. “2022년 처음 등장한 비버테일은 현재까지 매년 새롭게 향상됐으며, 공백 기간 없이 공격을 펼쳐 왔습니다. 라자루스의 주무기라고 해도 괜찮을 정도입니다.”

비버테일은 자바스크립트를 기반으로 하고 있어 플랫폼에 크게 구애 받지 않는 편이다. 개발자 친화적이며, 공급망과 워크플로우 내에 주입시키기도 편하다. 탐지 기술을 우회하는 데도 능한 편이다. 즉, 기본 잠재력이 뛰어나다는 것으로, 이 때문에 라자루스가 다른 멀웨어로 갈아타지 않은 채 비버테일을 개량하고 또 개량하는 것이라고도 할 수 있다. 

“비버테일이 워낙 유명하고 널리 알려졌기 때문에 다른 해커들도 관심을 가질 법합니다만, 현재까지는 라자루스가 단독으로 사용하고 있습니다. 라자루스도 이렇게 수년 동안 실제 현장에서 검증된 무기를 MaaS 형태로 판매할 법한데 그러지 않습니다. 물론 이런 행위들이 이미 이뤄지고 있지만 발견되지 않은 것일 수도 있습니다.” 다크트레이스의 설명이다. “하지만 아직까지 ‘비버테일이 발견됐다’고 하면 라자루스부터 의심해야 하고, 라자루스는 암호화폐나 금전적 공격에 집중하고 있기 때문에 그러한 자산들을 더 단단히 보호해야 합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• New BeaverTail Malware Variant Linked to Lazarus Group - Infosecurity Magazine, 2025년 (라자루스 그룹의 최신 BeaverTail 변종, 다층 난독화 기술 및 128겹 보호 레이어 상세 분석)
• Lazarus Group Embed New BeaverTail Variant in Developer Tools - HackRead, 2025년 (개발자 도구 위장 배포, 고급 보호 레이어 우회 및 C2 통신 구조 분석)
• DPRK Hackers Use ClickFix to Deliver BeaverTail Malware - The Hacker News, 2025년 (ClickFix 배포 체인과 BeaverTail 변종의 메모리 주입, 보호 레이어 기술적 분해)
• ESET Research Deep Dive: DeceptiveDevelopment and BeaverTail - ESET Research, 2025년 (BeaverTail 계열 악성코드의 진화 과정과 최신 변종의 다층 보호 메커니즘 연구)

북한 해커들, 새 해킹 도구 꾸준히 도입

💡Editor’s Pick - 기존에 발견되지 않은 도구 세 가지 새롭게 등장 - 하지만 큰 틀에서는 2022년부터 시작된 컨태져스인터뷰 캠페인 - 새 도구 개발, 확보, 활용에 있어 부지런한 모습 북한 해커들이 새로운 도구들을 활용한다는 사실이 포착됐다. 보안 기업 이셋(ESET)이 발표한 것으로, 최근 북한 APT 조직들은 컨태져스인터뷰(Contagious Interview)라는

The Tech Edge문가용 기자

북한 해커들, 전략의 세밀한 부분 변경시켜...일반인도 주의 필요

💡Editor’s Pick - 구직자 노리는 것은 여전...하지만 비전문가도 포함 - 클릭픽스 기법 추가해 더 위협적 - 영업과 마케팅 전문가들 중 크롬 사용하면 위험할 수도 북한 해커들의 멀웨어 유포 캠페인이 적발됐다. 깃랩(GitLab)에서 발표한 보고서에 의하면 공격자들은 클릭픽스(ClickFix)라는 기법을 통해 비버테일(BeaverTail)과 인비저블퍼렛(InvisibleFerret)이라는 멀웨어를

The Tech Edge문가용 기자