北 라자루스 '드림잡 작전' 재개…유럽 방산업체 3곳에 가짜 구인메일로 침투

악성 PDF 리더 통한 원격 트로이목마 배포…우크라이나 전장의 서방 드론 정보 수집 목표
사회공학·오픈소스 조합 악용해 보안 우회…깃허브 변조 프로젝트로 악성코드 유포

북한 정부 추종 해킹 조직 라자루스(Lazarus)가 유럽 방위산업 기업 3곳을 대상으로 위장 채용 제안 이메일을 이용한 대규모 사이버 스파이 행위를 하는 것으로 드러났다. 이미지=GPT4o

북한 정부 추종 해킹 조직 라자루스(Lazarus)가 유럽 방위산업 기업 3곳을 대상으로 위장 채용 제안 이메일을 이용한 대규모 사이버 스파이 캠페인을 벌이고 있는 것으로 확인됐다. ESET 사이버보안 연구팀은 지난 23일(현지 시간) 이들이 무인항공기(드론·UAV) 기술 탈취를 목표로 한 '드림잡(DreamJob) 작전'의 새로운 국면을 감지했다고 발표했다.

2025년 3월 유럽 중부·동부 지역 금속 엔지니어링업체, 항공기 부품 제조사, 국방계약업체 등 3곳이 표적이 됐다. 라자루스는 거짓 구인 공고를 첨부한 이메일을 발송해 피해자를 유인한 후, 악성 코드가 심어진 PDF 리더 프로그램을 설치하도록 유도했다. 프로그램 실행 시 원격 접근 트로이목마(RAT) '스코어링매스티(ScoringMathTea)'가 자동으로 설치되면서 공격자가 피해 시스템을 완전히 장악하게 된다.

ESET 연구원 피터 칼나이는 "드림잡 작전의 특징인 거짓 채용 제안이라는 사회공학 기법에 더해 깃허브(GitHub)의 오픈 소스 프로젝트를 변조해 악성코드 배포 경로로 악용한 점이 이번 공격의 핵심"이라고 설명했다.

기술 숨겨 보안 프로그램 우회 기법 진화

이번 공격에서 주목할 점은 악성코드를 숨기는 방식이 한층 고도화됐다는 것이다. 라자루스는 'TightVNC 뷰어'와 'MuPDF' 같은 정상 오픈 소스 애플리케이션을 악의적으로 변조한 뒤, 'DirectX 래퍼'와 'Notepad++ 플러그인' 형태의 새로운 로더와 다운로더를 추가했다.

이를 쉽게 설명하면, 해커들이 컴퓨터가 정상적으로 작동하기 위해 필요한 프로그램 구성 요소들(동적 라이브러리·DLL)을 위장했다는 의미다. 마치 정품이 아닌 가짜 명품 부품을 진정한 제품처럼 끼워 넣는 것과 같은 원리다. 이렇게 되면 컴퓨터의 보안 프로그램들이 악성 부품을 정상 부품으로 착각해 통과시킨다. 따라서 해킹 탐지 시스템을 쉽게 피할 수 있게 된다. 이러한 다층 배포 구조는 일반적인 보안 솔루션의 탐지를 우회하도록 의도적으로 설계됐다.

드론 파일명으로 드러난 정보 탈취 의도

주목할 점은 악성 파일 중 하나의 이름이 'DroneEXEHijackingLoader.dll'로 명명된 사실이다. ESET 사이버 위협 분석가 알렉시스 라핀은 이 파일명이 "공격자들이 특별히 무인항공기 관련 데이터를 겨냥했다는 증거"라고 강조했다.

실제로 공격 대상 3곳 중 2곳은 드론 부품 또는 소프트웨어 생산에 직접 관여하고 있다. 한 기업은 현재 우크라이나에서 활용 중인 최소 2종류 드론의 생산에 참여하고 있으며, 고급 단일 로터 드론의 공급망에도 관여 중인 것으로 파악됐다. 라핀은 "북한이 현재 이 유형의 항공기를 활발히 개발 중"이라고 덧붙였다.

러-우 전쟁의 서방 드론 기술 수집 노렸나

공격 시기의 중요성도 눈여겨봐야 한다. ESET 연구팀이 이 캠페인을 적발한 시점은 북한군이 우크라이나 쿠르스크 지역 반격 격퇴를 위해 러시아에 파병했다는 보도와 시간이 일치한다. ESET은 드림잡 작전이 "현재 우크라이나 전장에 배치된 서방 드론에 관한 정보 수집을 목표로 했을 가능성이 높다"고 분석했다.

이는 북한의 드론 자력화 전략과 맞물린다. 지난 6월 러시아는 북한에 이란제 '샤헤드-136' 자폭 드론의 기술을 이전하고, 평안북도 방현 비행장 일대에 생산 시설을 공동 구축했다. 북한이 서방 최신 드론 기술까지 탈취할 경우, 러시아로부터 이전받은 기술과 결합해 더욱 고도화된 무기체계를 개발할 수 있다.

라자루스의 광범위한 공격 네트워크

라자루스 그룹은 2009년부터 활동해온 북한 정부 추종 해킹 조직으로, 미국 국가안보국(NSA)도 '히든 코브라(Hidden Cobra)'로 분류하고 있다. 금융기관 해킹, 암호화폐 거래소 침해, 지정학적 목표 대상 사이버 첩보 등 다방면 활동으로 악명높다.

이번 2025년 공격에서 ESET이 감지한 주요 변화는 기술 개선이다. 스코어링매스티는 약 40개 명령어를 지원하는 복잡한 RAT로, 파일·프로세스 조작, 시스템 정보 수집, 명령·제어 서버(C&C)로부터 새로운 페이로드 다운로드 등의 기능을 수행한다.

ESET 연구팀은 "라자루스가 지난 거의 3년간 일관된 운영 방식을 유지해왔지만, 오픈 소스 애플리케이션 변조 기법과 보안 우회 전략은 계속 진화하고 있다"고 지적했다.

향후 유럽 방위산업 광범위한 위협

ESET은 "북한이 드론 산업과 무기 확보를 확대하려는 현 상황을 감안할 때, 이 분야에서 활동하는 다른 유럽 조직들도 가까운 장래에 북한과 연계된 위협 세력의 표적이 될 가능성이 높다"고 경고했다.

이는 올 4월 라자루스 그룹이 한국의 소프트웨어·IT·금융·반도체·통신 산업 6곳을 겨냥한 '오퍼레이션 싱크홀'과 맥락을 같이한다. 당시 공격은 국내 파일 전송 소프트웨어 이노릭스 에이전트의 제로데이 취약점을 악용한 고도화된 공급망 공격 형태였다. 라자루스가 한반도 주변부터 유럽까지 광범위한 지역의 방위산업·정보기술 기업을 체계적으로 공략하고 있음을 보여주는 사례다.

박정한 글로벌이코노믹 기자 park@g-enews.com