북한이 사이버 해킹을 하는 과정에서 ‘서비스형 랜섬웨어(Ransomware as a Service, RaaS)’의 제휴자로 참여한 첫 사례가 미국 보안 분석팀에 의해 확인됐다. 서비스형 랜섬웨어란 랜섬웨어를 서비스처럼 판매하는 모델이다. 개발자가 해킹에 필요한 랜섬웨어를 일종의 ‘제작 대행’하는 것으로, 이를 이용하면 기술력이나 전문지식이 없는 사람도 쉽게 해킹이 가능해진다.

마이크로소프트(MS)가 17일 발표한 연례 ‘2025 디지털 방어 보고서’에 따르면 ‘MS 위협 인텔리전스’는 북한의 한 해커가 처음으로 서비스형 랜섬웨어 제휴자로 참여한 사례를 관찰했다.

보고서는 이와 관련해 “북한이 랜섬웨어 사이클의 일부를 외주화해 자체 자원을 표적에 침투하는 활동에 집중할 수 있도록 한다”며 “북한의 랜섬웨어 공격 증가로 이어질 수 있다”고 관측했다. 이어 “무기 체계와 관련된 지식재산(IP)을 수집하기 위한 북한의 피싱 작전도 증가했다”며 “특히 올해 북한 해커들은 클라우드 인프라를 이용해 C2(명령 및 제어) 인프라를 숨기는 사례도 관찰했다”고 밝혔다.

보고서는 이 같은 움직임은 방어자들의 공격 탐지 및 차단을 더 어렵게 만드는 것으로, 북한의 정교함이 발전하고 있다고 분석했다. 특히 아직은 초기 단계의 경향성을 보이지만, 이는 북한의 해커들이 방어망을 회피할 새로운 방법들을 탐색하고 있음을 시사하는 신호일 수 있다고 예측했다.

보고서에 따르면 북한의 해킹 공격은 IT 관련 분야나 학계, 싱크탱크 등에 집중됐다. IT 업계에 대한 공격이 33%로 가장 많았고, 연구·학문 분야가 15%, 싱크탱크·비정부기구(NGO)가 8%로 뒤를 이었다. 그 밖에 유통(7%), 금융(5%), 제조업(4%) 등에 대한 공격도 관찰됐다.

국가별로 보면 미국이 50%로 북한의 사이버 공격을 가장 많이 받은 것으로 나타났다. 그 외에도 이탈리아 13%, 오스트레일리아 5%, 영국 4% 순으로 북한의 공격 대상이 됐다. 한국을 대상으로 한 공격은 1%로 낮았다.

보고서는 북한의 해커들이 블록체인 기술, 암호화폐 관련 조직이나 국방·제조업 등에 대한 공격에 초점을 맞추고 있다고 설명했다. 또 동아시아 정책과 관련한 기관·대학·정부부처 등을 우선 공격 대상으로 삼으며, 특히 아시아·태평양 지역에서는 중공업 분야와 한국 내 다양한 조직 전반에 관심을 보이고 있다고 분석했다. 보고서는 이 같은 움직임이 수익 창출과 정보 수집이라는 이들의 임무를 반영한다고 짚었다.

연합뉴스에 따르면 보고서는 이밖에도 올해 북대서양조약기구(NATO) 회원국에 대한 러시아의 사이버 공격이 늘어났다고 분석했다. 러시아의 사이버 공격 빈도가 높은 상위 10개국 중 9개국이 나토 회원국이었다. 미국이 20%로 1위를 차지했고, 영국(12%), 독일(6%), 벨기에(5%), 이탈리아(3%) 등이 뒤를 이었다. 러시아와 전쟁 중인 우크라이나가 11%로 3위를 차지하며, 나토 비회원국으로는 유일하게 순위권에 들었다.

영국 일간 가디언은 “전문가들은 러시아가 나토 회원국을 상대로 하이브리드 전쟁을 수행하고 있다고 경고해왔다”며 러시아의 사이버 공격 증가에 시사점이 있다고 짚었다.