Security

북한의 스카크러프트, 랜섬웨어 공격까지 섭렵

문가용 기자

Published: 07:46, 12 Aug 2025 (Updated: 16:42, 19 Aug 2025)

💡

Editor's Pick
- 북한 해킹 조직 스카크러프트, VCD 랜섬웨어 활용
- 북한 정권에 필요한 게 돈...스카크러프트에게도 미션 주어진 듯
- APT가 랜섬웨어 공격하면 방어자가 헷갈림

돈과 정보라는 두 가지 토끼를 한꺼번에 노리는 것으로 잘 알려진 북한 APT 조직이, 급기야 랜섬웨어에까지 손을 대기 시작했다. 국가 지원을 받는 고급 해커 이미지의 APT가, 민간 사이버 범죄 단체의 전유물과 같은 랜섬웨어를 사용한다는 건 대단히 드문 일이다. 한국의 화이트햇 해커들이 올 여름 각종 국제 해킹 대회에서 상을 휩쓸 때, 북한 블랙햇 해커들은 사이버 악행의 새로운 지평을 열고 있다.

보안 업체 S2W에 의하면 북한의 스카크러프트(ScarCruft)가 VCD라는 이름의 새 랜섬웨어를 사용하기 시작했다고 한다. “스카크러프트는 주로 한국, 일본, 러시아의 정부 기관을 공략해 고급 정보를 훔치던 그룹입니다. 그런데 최근 들어 전략에 변화를 주기 시작했습니다. 그 새로운 전략에 노출되어 있는 건 한국 내 피해자들인 것으로 파악되고 있습니다. 이 캠페인은 7월에 진행됐습니다.”

캠페인 진행 상황
공격은 피싱 이메일로부터 시작됐다. “메일에는 첨부 파일이 하나 포함돼 있습니다. 우편번호 최신화와 관련된 것처럼 꾸며져 있고, 피해자가 여기에 속아 파일을 열면 여러 가지 악성코드에 감염됩니다.” 이 감염 단계에서 사용되는 멀웨어는 무려 9종이라고 S2W는 설명한다. “칠리치노(ChillyChino)라는 멀웨어의 새 변종과 러스트(Rust)로 작성된 백도어, 라이트피크(LightPeek)와 페이드스틸러(FadeStealer)라는 정보 탈취 멀웨어, 넙스파이(NubSpy)라는 원격 제어 프로그램 등이 포함돼 있습니다.”

그리고 문제의 VCD 랜섬웨어도 그 9종 멀웨어 안에 들어 있다. VCD는 일반 랜섬웨어처럼 피해자 컴퓨터 내 파일을 암호화 한 후 협박 편지를 시스템 내에 남긴다. 피해자로부터 돈을 요구하는 내용이 담겨 있다. “이 협박 편지는 영어와 한국어로 작성돼 있습니다.” 하지만 S2W는 스카크러프트가 보통 얼마 정도를 피해자에게 요구하는지, 실제 받아낸 돈이 얼마인지는 아직 집계하지 않았다. 따라서 이번 캠페인의 성공 여부도 판단하기 어려운 단계라고 한다.

랜섬웨어? 왜?
적국 정보 탈취를 전문으로 하는 스카크러프트가 왜 갑자기 랜섬웨어를 만지기 시작했을까? S2W는 “정보 외에 돈도 같이 노리기 시작한 것으로 보인다”고 분석한다. “북한 정부는 정상적인 방법으로 국고를 채우기 힘든 상황입니다. 그래서 이미 오래 전부터 여러 해킹 조직들을 운영해 돈을 벌어 왔죠. 스카크러프트보다 더 큰 조직도 이런 활동에 동참했고, 이제 스카크러프트에게도 비슷한 임무가 주어진 것으로 보입니다.”

해커들은 현 북한 정권에 있어 가장 유용한 자금 조달 채널이다. UN은 2024년 한 보고서를 통해 북한 해킹 조직인 라자루스(Lazarus)와 킴수키(Kimsuky) 등이 지난 6년 동안 세계 곳곳의 피해자들로부터 30억 달러에 달하는 돈을 빼앗아간 것으로 분석했다. 세계 금융권이 첫 손에 꼽는 위협에 라자루스가 항상 포함돼 있기도 하다.

방어자에게 어떤 의미인가?
북한 APT 조직이 랜섬웨어로 돈까지 노리기 시작했다는 건 방어자에게 좋은 소식이 아니다. 그만큼 고려해야 할 것이 늘어나고, 따라서 방어 임무 자체가 복잡해졌다는 뜻이기 때문이다. 이를 이해하려면 그 동안 왜 보안 업계가 APT 조직들과 민간 사이버 범죄 그룹들을 따로 분류했는지를 알아야 한다. APT와 일반 해킹 조직의 차이를 간략히 열거하면 다음과 같다.

1) 목적이 다르다 : APT들의 가장 중요한 목적은 적국 염탐이다. 특정 국가나 지역의 정부 기관에 침투해 중요 군사 및 외교 정보 등을 훔쳐내는 게 보통이다. 해당 국가의 기업에서 영업비밀을 캐는 경우도 있다. 돈을 노리는 경우는 거의 없다. 사이버 범죄 그룹은 정 반대다. 이들에게는 돈이 1순위다. 정보를 빼가기도 하는데, 결국 그 정보로 수익을 내려 한다. 방어자가 자신의 상대를 APT로 파악하는 순간 지켜야 할 건 민감 정보가 된다. 반대로 민간 사이버 범죄 그룹을 상대해야 한다고 결론을 내렸다면 금융 관련 정보나 인프라부터 보호해야 한다.

2) 자원이 다르다 : APT가 ‘고급 해커’ 이미지를 가지게 된 건 이들이 가진 자원이 풍부하기 때문이다. 주로 국가가 지원하기 때문에 이들은 급하게 돈을 모아야 한다거나, 자금난에 부딪혀 저급 해킹 도구를 사용해야만 하는 상황에 내몰리지 않는다. 해킹 범죄 그룹은 늘 돈이 모자란 것처럼 움직인다. 저렴한 도구와 서비스로 가장 큰 효과를 내기 위해 애쓰며, 따라서 ‘가성비’에 혈안이 돼 있다. 더 많은 시간과 더 좋은 도구를 갖춘 APT를 막는 게, 잘 알려진 익스플로잇 기법과 도구로 발 빠르게 움직이려 하는 사이버 범죄 그룹을 막는 것보다 일반적으로 더 까다롭다. 따라서 준비해야 할 것, 미리 세워두어야 할 전략에도 차이가 있을 수밖에 없다.

3) 한계가 다르다 : APT는 아무래도 국가를 등에 없고 움직이기 때문에, 국가 차원에서 전략에 제동을 걸게 된다. 어떤 지역이나 나라에 대해 국가가 어떤 스탠스를 유지하고 있느냐가 APT 공격의 방향이나 깊이를 결정한다. 민간 해킹 단체는 정치적 이유 때문에 운신의 폭이 좁아지는 경우가 거의 없다. 다만 특정 국가의 사법 기관(예 : FBI)이 무서워 특정 국가는 공격하지 않는 정도의 ‘눈치 보기’는 종종 목격된다. 방어자 입장에서 APT를 상대해야 한다면 정치적 상황과 맥락까지 파악해야 방어 전략이 탄탄해지지만, 민간 해커들을 상대해야 한다면 그럴 필요가 줄어든다.

4) 대처법이 다르다 : 방어자가 APT를 추적하거나 분석하다 보면, 그 APT가 국가의 지원을 받기 때문에 자연스럽게 외교 비화로 이어지기도 한다. 따라서 방어자의 추적 행위는 좀 더 은밀해져야 하고, 정부나 외교 기관의 협조를 구해야 할 때도 있다. 반면 민간 해커 조직을 추적할 때는 경찰 및 사법 조직들과 연계해야 할 때가 많다.

위 네 가지 이유로 인해 ‘지금 우리 회사를 공격하는 게 누구인가? APT인가 일반 해킹 조직인가?’라는 질문은 방어자에게 있어 대단히 중요한 첫 단추가 된다. 한 번 스텝이 꼬이면 방어가 지연되고, 피해가 커질 수 있다. 반대로 APT면 APT, 일반 해킹 조직이면 일반 조직, 잘 정해서 알맞게 대처하면 획기적으로 피해를 줄이고, 심지어 예방까지도 가능하다. 북한 APT가 랜섬웨어 공격까지 하고 있다는 게 위험한 건, ‘알맞은 대처’를 어렵게 만들기 때문이다. 방어 시간 지체와 피해 확대가 불가피해진다.

성공 사례라도 된다면
더 큰 문제는 스카크러프트의 이런 행보가 일종의 선례로 남을 수 있다는 것이다. APT가 풍부한 자원 때문에만 ‘고급 해커’ 이미지를 갖게 된 건 아니다. 이들은 그 풍부한 자원을 바탕으로 최신 해킹 기법을 자주 개발하기도 하는데, 잘 알려지지 않은 최신 기법이므로 공격 후 큰 효과를 거둘 때가 많으며, 따라서 여느 해커들이 선망하는 대상이 된다. 즉 APT는 다크웹에서 스승이자 유능한 선배의 지위를 갖게 되는데, 그 관계 속에서 APT의 고급 기술력이 전파된다. 실제로 APT만 사용하던 전략이나 기법이 수개월 안에 민간 사이버 범죄 단체 사이에 널리 퍼지는 건 흔히 있는 일이다.

일부 보안 전문가들이 “APT가 사이버전을 일으키고 있다는 것 외에, 다크웹을 상향평준화 시키는 것도 시급한 해결 과제”라고 말하는 건 이 이유 때문이다. APT가 ‘히트친’ 아이템은 다크웹에서 수많은 ‘워너비’들을 양산하며, 이 워너비들은 각자의 자리에서 APT의 고급 기술력이나 창의적 전략을 발휘해 피해자들을 양산한다. 스카크러프트가 “APT도 랜섬웨어로 돈 벌 수 있다” 혹은 “APT가 랜섬웨어 사용하니 방어 성공률이 현저히 떨어진다”는 게 밝혀진다면 이를 추종하여 따라해보는 자들이 늘어날 것으로 예상된다.