메두사 랜섬웨어 공격 캠페인
북한과 연계된 것으로 알려진 위협 행위자 라자루스 그룹(Lazarus Group), 다이아몬드 슬리트(Diamond Sleet) 및 폼필루스(Pompilus)로도 추적되는 이 단체가 중동의 한 익명의 기관을 대상으로 메두사(Medusa) 랜섬웨어를 사용한 공격이 포착되었습니다. 보안 연구원들은 또한 동일한 단체가 미국의 한 의료기관을 대상으로 침입을 시도했으나 실패한 사실도 확인했습니다.
메두사는 서비스형 랜섬웨어(RaaS) 모델로 운영되며, 2023년 스피어윙(Spearwing)이라는 사이버 범죄 조직에 의해 출시되었습니다. 출시 이후 366건 이상의 공격에 대한 책임을 주장했습니다. 메두사 유출 포털을 살펴보면, 2025년 11월부터 미국 내 의료 및 비영리 단체 4곳이 피해 기관으로 등록된 것으로 나타납니다. 여기에는 정신 건강 관련 비영리 단체와 자폐아동 교육 기관이 포함됩니다. 모든 공격이 북한 조직원들의 소행인지, 아니면 메두사와 연계된 다른 조직이 일부 침입을 저질렀는지는 아직 불분명합니다. 해당 기간 동안 평균 몸값 요구액은 약 26만 달러였습니다.
목차
북한의 랜섬웨어 작전에서 나타나는 진화 패턴
북한 사이버 부대의 랜섬웨어 사용은 이미 잘 알려진 사실입니다. 2021년 초, 라자루스 하위 클러스터인 안다리엘(스톤플라이로도 알려짐)은 SHATTEREDGLASS, Maui, H0lyGh0st와 같은 자체 개발 랜섬웨어 계열을 사용하여 한국, 일본, 미국 전역을 공격했습니다.
2024년 10월, 해당 그룹은 Play 랜섬웨어 배포와 연관되어 있다는 사실이 밝혀졌는데, 이는 자체 제작 페이로드에만 의존하는 대신 시중에서 구할 수 있는 랜섬웨어를 사용하는 방향으로 전략적 전환을 했음을 시사합니다.
이러한 변화는 안다리엘에만 국한된 것이 아닙니다. 이전에 맞춤형 랜섬웨어인 페이크페니(FakePenny)와 연관된 또 다른 북한 위협 행위자인 문스톤 슬리트(Moonstone Sleet)가 치린(Qilin) 랜섬웨어를 이용해 한국 금융기관을 공격한 것으로 알려졌습니다. 이러한 움직임들은 북한 공격자들이 완전히 독자적인 랜섬웨어 툴체인을 유지하는 대신, 기존의 RaaS(Ransomware as a Service) 생태계 내에서 제휴사 역할을 하는 방식으로 전술을 전환하고 있음을 시사합니다.
메두사 작전을 지원하는 운영 도구 모음
라자루스가 연루된 것으로 추정되는 메두사 관련 활동은 자체 개발한 악성코드와 공개적으로 사용 가능한 공격 도구를 혼합하여 사용합니다. 관찰된 도구는 다음과 같습니다.
- RP_Proxy는 독점 프록시 유틸리티입니다.
- Mimikatz는 사후 공격 활동에 널리 사용되는 자격 증명 유출 도구입니다.
- Lazarus 전용 백도어인 Comebacker입니다.
- InfoHook은 이전에 Comebacker 배포와 연관된 적이 있는 정보 탈취 악성 프로그램입니다.
갈취 수법은 이전 안다리엘 작전과 유사하지만, 현재 활동이 특정 라자루스 하위 조직에 의한 것인지는 아직 확실하게 밝혀지지 않았습니다.
전략적 함의: 독점적 개발보다는 실용주의
메두사(Medusa)나 치린(Qilin)과 같은 랜섬웨어 변종의 도입은 운영상의 실용성을 반영합니다. 맞춤형 랜섬웨어 제품군을 개발하고 유지 관리하려면 상당한 자원, 테스트 및 인프라가 필요합니다. 기존의 RaaS(Ransomware as a Service) 플랫폼을 활용하면 성숙한 암호화 기능, 운영 지원 및 검증된 수익 창출 메커니즘을 즉시 이용할 수 있습니다. 제휴 수수료 구조는 개발 및 유지 관리 비용과 비교했을 때 합리적인 절충안으로 볼 수 있습니다.
지속적이고 제한 없는 타겟팅
상용 랜섬웨어로의 전환은 북한이 금전적 동기를 가진 사이버 범죄에 지속적으로 관여하고 있음을 더욱 분명히 보여줍니다. 공격 대상 선정 패턴은 거의 자제력이 없음을 시사하며, 미국의 의료기관을 포함한 여러 조직이 공격 대상에 포함되었습니다. 일부 범죄 조직은 평판 손상을 최소화하기 위해 의료기관을 표적으로 삼지 않는다고 공개적으로 주장하지만, 라자루스 관련 작전에서는 그러한 제한이 전혀 보이지 않습니다.
