라자루스, 새 메모리 기반 RAT ‘RemotePE’로 금융·암호화폐 조직 겨냥: 최신 공격 트렌드와 방어 시사점

1. 사건 개요 및 배경

보안 업체 NCC Group과 Fox-IT가 최근 공동 분석을 통해 북한 연계 APT 그룹 라자루스(Lazarus Group)가 새로운 메모리 기반 원격 접근 트로이목마(RAT) ‘RemotePE‘를 적극적으로 전개하고 있다고 밝혔다. 이번 공격은 특히 금융 기관과 암호화폐 거래소를 주요 표적으로 삼아, 기존 윈도우 환경 중심에서 벗어나 다양한 플랫폼에서도 동작하는 크로스플랫폼 멀웨어 특성을 보여준다는 점에서 보안 업계의 본격적인 경계령이 되고 있다.

라자루스 그룹은 과거에도 다수의 고도화된 사이버 공격을 성공적으로 수행해온 것으로 널리 알려져 있으며, 이번 RemotePE 공격 역시 그 전략적 정밀성과 지속성을 그대로 이어받았다. 공격 체인은 초기 침입 후 DPAPILoader를 통해 악성 페이로드를 복호화하고, 이어서 RemotePELoader를 통해 메모리 내에서만 동작하는 RAT을 실행하는 2단계 구조로 구성되어 있다. 디스크에 파일을 거의 남기지 않기 때문에 기존 안티바이러스 솔루션의 정적 탐지를 우회할 수 있다는 것이 가장 큰 특징이다.

2. 라자루스 그룹 및 기존 공격 패턴

라자루스 그룹은 민간 보안 업체들의 교차 분석을 통해 꾸준히 그 실체가 밝혀져 온 위협 행위자다. Kaspersky, Mandiant, NCC Group 등 다수의 글로벌 보안 기업들이 라자루스의 활동과 공격 기법을 다각도로 분석한 바 있다. 특히 금융 분야와 블록체인·암호화폐 업계에 대한 공격은 그룹의 주요 활동 무대 중 하나로 손꼽힌다.

과거 공격 사례들을 살펴보면, 라자루스는 초기 침입 수단으로 피싱 이메일, 공급망 침투 등 다양한 방식을 이용해 일단 내부 네트워크 진입에 성공하면, 멀티스테이지 페이로드 체인을 통해 최종 목표 달성에 집중해 왔다. 이 과정에서 커스텀 로더와 백도어를 혼합 사용하여 탐지를 어렵게 만드는 것이 특징이다. RemotePE 공격 역시 이러한 패턴의 연장선상에 있음을 확인할 수 있다.

3. RemotePE 멀웨어 및 공격 체인 구조

3-1. DPAPILoader 기능 분석

공격 체인의 첫 단계는 DPAPILoader가 담당한다. DPAPILoader는 마이크로소프트의 Data Protection API(DPAPI)를 악용해 메모리 내에서 악성 페이로드를 복호화하는 역할을 한다. DPAPI는 원래 사용자의 보호 데이터를 복호화하는 용도로 제공되지만, 라자루스는 이를 페이로드 난독화 및 유출 방지에 사용한 것으로 보인다.

분석 결과에 따르면 DPAPILoader는 특정 조건 만족 시 숨겨진 페이로드를 메모리에 직접 로드하며, 그 과정에서 시스템 콜 및 파일 쓰기 흔적 등 탐지 포인트를 최대한 줄인다. NCC Group과 Fox-IT의 보고서 내 일부 코드 인용이 있으나, 전체가 공개되진 않아 분석과 대응에 신중을 기하는 분위기다.

3-2. RemotePELoader의 메모리 상주 및 탐지 회피

DPAPILoader가 페이로드 복호화를 담당하면, RemotePELoader는 실제 RAT 기능 모듈을 메모리에서 직접 실행한다. 해당 RAT 모듈은 감염 기기에 대한 원격 제어, 키로깅, 화면 캡처, 파일 탈취, 명령 실행 등 다양한 악성 기능을 구현한다.

RemotePELoader의 주요 회피 기법은 다음과 같다. 첫째, 페이로드를 메모리에만 상주시켜 디스크 탐지를 우회한다. 둘째, 코드 인젝션과 DLL 하이재킹을 혼합해 정적 분석을 어렵게 만든다. 셋째, 네트워크 통신 시 정상 프로토콜·합법 사이트로 위장해 네트워크 단 탐지도 우회하는 것으로 보인다.

4. 공격 특징: 크로스플랫폼 지원과 멀티스테이지 체인

RemotePE의 가장 큰 특징 중 하나는 크로스플랫폼 멀웨어라는 점이다. 윈도우 환경뿐 아니라 기타 운영체제까지 범용적으로 대응할 수 있는 설계가 적용됐으며, 이는 금융 기관과 코인 거래 환경이 윈도우·리눅스·macOS 등으로 다양해진 현실에 발맞춘 결과로 분석된다.

또 한 가지 특징은 바로 멀티스테이지 공격 체인이다. 각각의 단계가 독립적 모듈로 분리되어 초기 감염이 탐지돼도 이후 페이로드 탐지가 누락될 가능성이 있다. 각 단계마다 별도 암호화·인코딩 기법이 적용돼 방어 솔루션의 서명 기반 탐지를 효과적으로 무력화한다.

5. 피해 산업 및 보안 트렌드 상 교차 검증

NCC Group, Fox-IT, Kaspersky, Mandiant 등의 보고서에 의하면 라자루스의 주요 공격 표적은 금융기관, 결제 솔루션, 암호화폐 거래소 및 블록체인 스타트업이다. 이들 산업은 디지털 자산과 금융 데이터의 높은 경제적 가치, 급변하는 업무 환경 등으로 인해 보안 사각지대가 존재한다.

Mandiant의 분석에 따르면 라자루스는 암호화폐 거래소 및 개인 지갑 등을 노려 다수의 금전 탈취 사고를 일으켰으며, NCC Group도 금융·블록체인 분야에서의 지속적 활동을 수차례 확인했다. RemotePE 역시 실제 경제적 이익을 추구하는 조직적 사이버 범죄임이 교차 검증되고 있다.

6. 국내외 금융·코인 업계 시사점과 보안 권고

국내 금융·암호화폐 산업은 RemotePE와 같은 메모리 기반 위협에 대비한 근본적 방어 체계가 요구된다. 첫째, 메모리 기반 위협 탐지를 위한 EDR(Endpoint Detection and Response) 솔루션 도입이 필수다. 기존 서명 기반 방어로는 메모리 상주형 RAT 탐지가 어렵다.

둘째, DPAPI 악용 모니터링을 강화해야 한다. 비정상 DPAPI 호출 패턴을 감지하기 위해 윈도우 이벤트 로그 및 Sysmon 로그 기반 실시간 모니터링이 필요하다. 셋째, 멀티스테이지 공격 대응 차원에서 네트워크 분리와 최소 권한 원칙으로 공격 확산 경로를 차단해야 한다.

넷째, 암호화폐 기업은 핫월렛·콜드월렛 자산 분리와 다중 서명(멀티시그) 체계 도입과 함께 정기적인 보안 교육과 모의 훈련 등을 병행해야 한다.

7. 결론 및 전망

라자루스의 RemotePE 공격은 메모리 내 RAT이 금융·암호화폐 업계를 겨냥해 점점 더 정교하게 진화하고 있음을 보여준다. DPAPILoader와 RemotePELoader의 2단계 구조, 크로스플랫폼 지원, 멀티스테이지 탐지 회피 기법 등이 종합적으로 작동하며, 최신 APT 공격이 단순 악성코드 유포를 넘어 복합적 전략적 위협 대응을 요구하는 단계임을 뜻한다.

국내외 금융·코인 업계는 방화벽이나 안티바이러스 소프트웨어 중심의 단선 방어에서 벗어나 메모리·행위 기반 탐지 및 네트워크 이상 징후 탐지 등 전방위적인 계층적 방어 체계를 마련해야 한다. 무엇보다 위협 인텔리전스 공유와 모니터링 강화가 필수적이다.