북한 연계 해킹 조직 라자루스(Lazarus)가 지난 1년간 가장 많이 활용한 공격 방식은 ‘스피어 피싱(spear phishing)’인 것으로 나타났다. 이들은 여러 업종을 대상으로 한 해킹 사건의 사후 분석에서 가장 많이 언급된 조직이기도 하다고 안랩이 밝혔다.
안랩이 11월 26일 발표한 ‘사이버 위협 트렌드 & 2026년 보안 전망’ 보고서에 따르면, 라자루스는 지난해 각종 사이버 공격에서 스피어 피싱을 주된 수법으로 사용했으며, 강연 초청이나 인터뷰 요청으로 위장한 이메일을 자주 활용한 것으로 분석됐다.
라자루스는 2월 21일 발생한 14억 달러 규모의 바이빗(Bybit) 해킹, 최근 업비트에서 발생한 3천만 달러 규모의 보안 사고 등 여러 사건의 배후로 지목되고 있다.
스피어 피싱 어떻게 방어할까
스피어 피싱은 특정 개인·기업을 정밀하게 겨냥하는 맞춤형 공격이다. 공격자는 목표의 조직 구조, 담당 업무, 공개된 개인 정보 등을 수집한 뒤 신뢰를 유도해 계정 정보 탈취, 악성코드 설치, 내부 시스템 침투 등을 시도한다.
사이버 보안 회사 카스퍼스키(Kaspersky)는 스피어 피싱에 대비하기 위해 다음과 같은 보안 수칙을 제시했다.
VPN 사용: 온라인 활동을 암호화해 정보 탈취 위험 감소
개인 정보 과다 공개 자제: 공격자에게 제공할 단서를 최소화
이메일·메시지 출처 이중 확인: 다른 채널로 재검증
다중 인증(MFA) 또는 생체 인증 활성화: 계정 보안 강화
다계층 방어 체계 구축이 필수
안랩에 따르면 라자루스 그룹은 암호화폐, 금융, IT, 국방 분야를 집중적으로 공격해 왔으며, 지난 2024년 10월부터 2025년 9월까지 해킹 사고 분석 보고서에서 총 31건으로 가장 많이 언급된 위협 조직이었다.
뒤이어 같은 북한 연계 조직인 ‘킴수키(Kimsuky)’가 27건, TA-RedAnt가 17건을 기록했다.
안랩은 기업을 대상으로 “정기적인 보안 점검, 최신 패치 적용, 다양한 공격 벡터에 대한 직원 교육 등 다계층 방어 체계 구축이 필수”라고 조언했다.
관련 기사: CZ’s Google account targeted by ‘government-backed’ hackers
개인 사용자에게는 △다중 인증 사용 △보안 프로그램 최신 유지 △출처 불명 URL·첨부파일 실행 금지 △공식 채널을 통한 소프트웨어 다운로드 등을 권고했다.
“AI로 인해 악성 행위, 더 정교하고 효율적일 것”
안랩은 2026년을 앞두고 공격자의 역량이 AI로 인해 더욱 강화될 것이라고 경고했다.
이미 AI를 통해 실제와 구분하기 힘든 피싱 사이트·이메일 생성이 가능하며, 탐지를 회피하기 위한 변형된 코드 제작도 손쉽게 이루어진다는 설명이다. 특히 딥페이크(Deepfake)를 활용한 스피어 피싱은 더욱 고도화될 것으로 전망된다.
“AI 모델 사용 증가와 함께, 프롬프트 데이터를 탈취하거나 신원 위조를 시도하는 딥페이크 기반 공격이 피해자가 식별하기 어려운 수준으로 발전할 것”이라며 “데이터 유출 방지와 보안 강화를 위해 각별한 주의가 필요하다”
매거진: 2026 is the year of pragmatic privacy in crypto: Canton, Zcash and more
