공격자 간 협력, 단순한 추정이 아닌 정황으로 확인
권한 상승 도구와 계정 탈취 도구도 공유…악성코드 협력 뚜렷
“이제는 보안을 혼자 할 수 있는 시대가 아닙니다. 공격자가 협력한다면, 우리도 협력해야 합니다. 침해 사고 발생 이후의 결과보다, 침해가 왜 발생했는지에 집중하고 협업을 통한 선제 대응 전략이 필요합니다.” –플레인비트 이준형 사이버위협대응센터장-
데일리시큐가 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 4월 15일 서울 한국과학기술회관에서 700여 명 이상의 보안 실무자가 참석한 가운데 성황리에 개최됐다.
이날 플레인비트(대표 김진국) 이준형 사이버위협대응센터장은 ‘공격자간 협력 사례 공유’를 주제로 발표를 진행하며, 국가 배후의 해킹 조직들이 어떻게 협력하고 있는지 구체적인 분석 결과를 공개했다.
◆위협 국가 간 협력 정황 포착…북-러-이란 인프라 공유와 공동 공격
이준형 센터장은 강연에서 특히 “최근 사이버 공격이 단일 그룹의 단독 행위가 아닌, 다수 공격자 간 협력 결과물일 수 있다”는 점을 강조했다. 실제로 그는 북한 배후 공격 그룹이 침투에 사용한 시스템이 러시아와 이란의 인프라를 통해 연계된 사례를 분석하며, 인프라와 악성코드, 공격 아이디어까지 다층적으로 협력하고 있는 정황을 제시했다.
예를 들어 특정 코인 보유자를 모니터링하기 위해 블루킵(BlueKeep) 취약점이 악용된 서버에서 W1001 계정이 생성되었고, 이 계정은 이란·러시아의 IP를 통해 접속된 흔적이 있었다. 네덜란드의 상용 VPN을 활용한 흔적도 함께 확인되며, 다양한 국가 인프라가 동시에 활용되고 있었다. 이준형 센터장은 이를 통해 공격자들이 물리적 거리를 넘어 조직적으로 인프라를 공유하고 있음을 지적했다.
◆권한 상승 도구와 계정 탈취 도구도 공유…악성코드 협력 뚜렷
인프라 협력뿐 아니라, 악성코드와 도구의 사용 패턴에서도 협력 흔적이 포착됐다. 발표에 따르면, 이란 해킹 그룹이 2020년 사용했던 권한 상승 도구(CVE-2017-0213.vmp.exe)와 유사한 도구가 ‘User1001’ 계정에 의해 사용됐으며, 러시아 해킹 그룹 FIN12가 계정 탈취 도구로 사용한 ‘AccountRestore.exe’도 확인되었다. 또한 러시아 GRU가 우크라이나 공격에 사용했던 Dharma 랜섬웨어 파일(BLID.EXE)이 이란과 북한 배후 해커 간 공격에도 활용되고 있었다.
이준형 센터장은 “각 계정마다 사용하는 악성코드와 공격 도구가 서로 다른 국가 공격 조직의 전술(TTPs)과 일치하며, 이는 서로 다른 조직 간 악성코드 협업 가능성을 시사한다”고 설명했다.
◆LNK 악성파일을 중심으로 한 내부 협력도 분석
북한 배후 공격자의 LNK(바로가기) 파일 선호도에 대한 분석도 이어졌다. Windows 운영체제의 특성상 보안 우회에 용이한 LNK 파일은 스피어 피싱 공격에 자주 사용되며, 제작을 위한 특정 도구와 API 호출 방식이 있어 공격자의 식별이 가능하다는 점이 강조됐다. 발표에서는 다수 공격 그룹의 LNK 악성파일이 구조적으로 유사하며, 특정 ID값이 일치하는 경우도 포착돼 공격자 간 도구 공유 또는 동일 제작자가 존재할 가능성도 언급됐다.
특히 코니(Konni)와 김수키(Kimsuky) 조직 간 유사한 악성코드 특성이 식별되면서, 동일 국가 내 공격조직 간 협력 가능성도 함께 제기됐다.
◆공격 아이디어까지 공유…스피어피싱 주제 유사성
기술적 협력뿐 아니라, 공격 주제와 아이디어 차원의 협력 정황도 강연에서 소개됐다. 예를 들어 다양한 조직이 사용한 스피어 피싱 이메일의 주제가 매우 유사하거나, 동일한 문서 템플릿이 발견되는 사례 등이 이에 해당한다. 이는 단순히 도구나 인프라를 넘어서 전략 차원의 정보까지 공유되고 있다는 방증으로 풀이된다.
◆“보안도 이제는 협력이 필수…방어 연합체 필요”
이준형 센터장은 “공격자가 협력하는 시대에 방어는 여전히 고립돼 있다면, 승산은 없다”고 강조했다. 그는 사이버공격을 ‘목적 달성을 위한 미사일’에 비유하며, 랜섬웨어는 생화학탄두, 파괴형 악성코드는 핵탄두와도 같다고 설명했다. 이에 따라 개별 조직의 단독 방어가 아닌, 정보 공유 기반의 방어 연합체가 절실하다고 주장했다.
이번 강연 자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[K-CTI 2025] 엔키화이트햇 천호진 수석, 북한 연계 Konni 그룹의 정교한 공격 활동 분석 내용 공개해](https://www.dailysecu.com/news/photo/202504/165473_193882_4426.jpg)
![[K-CTI 2025] NSHC 조한국 선임 "스테가노그래피·파일리스 기법까지…친러 해킹 그룹, 한국 산업 정조준"](https://www.dailysecu.com/news/photo/202504/165474_193884_341.jpg)
![[K-CTI 2025] 전덕조 씨큐비스타 대표 “탐지 사각지대 여전한 기존 보안…TTP 중심 헌팅 전략 필요” 강조](https://www.dailysecu.com/news/photo/202504/165470_193873_226.jpg)
![[K-CTI 2025] 윤광택 레코디드퓨쳐 본부장, “다크웹에 계정 유출 심각”...보안 인텔리전스 통한 선제 대응 강조(영상)](https://www.dailysecu.com/news/photo/202504/165466_193863_4613.jpg)
![[K-CTI 2025] 케이토네트웍스 "AI 홍수 시대, SASE는 미래가 아닌 현재의 보안 패러다임”](https://www.dailysecu.com/news/photo/202504/165471_193876_3115.jpg)
![[K-CTI 2025] 클로인트 루이 구 이사 “신분 세탁해 기업 침투…북한 IT 외화벌이 인력의 조직적 위협 심각”](https://www.dailysecu.com/news/photo/202504/165477_193891_369.jpg)
![[K-CTI 2025] 넷위트니스 박지원 부장 “위협 헌팅, 조직의 보안 역량 향상 위한 강력한 도구”](https://www.dailysecu.com/news/photo/202504/165467_193867_4159.jpg)