마이크로소프트(MS)가 북한이 '서비스형 랜섬웨어(RaaS·Ransomware as a Service)' 생태계에 처음으로 제휴자로 참여한 사례를 확인했다고 밝혔다. 랜섬웨어를 서비스 형태로 거래하는 RaaS 모델은 해킹 기술이 없는 개인도 공격에 나설 수 있게 해, 북한의 사이버 공격 방식이 한층 정교해지고 있다는 분석이 나온다.
MS가 17일 공개한 '2025 디지털 방어 보고서'에 따르면, 자사 위협 인텔리전스팀은 북한 해커가 RaaS에 참여해 공격 일부를 외주화하는 움직임을 포착했다. 보고서는 "북한이 자원을 효율적으로 배분해 침투 활동에 집중하려는 전략"이라며 "랜섬웨어 공격의 빈도와 정교함이 더 높아질 수 있다"고 경고했다.
보고서는 북한이 무기 체계 관련 지식재산(IP) 탈취를 위한 피싱 작전을 강화하고, 클라우드 인프라를 이용해 명령·제어(C2) 서버를 은폐하는 사례도 확인했다고 밝혔다. 이는 공격 탐지와 차단을 더욱 어렵게 만들어 방어망 회피 기술이 고도화되고 있음을 시사한다.
MS는 북한의 해킹 표적이 IT(33%), 학계(15%), 싱크탱크 및 비정부기구(8%) 등으로 집중돼 있다고 분석했다. 국가별로는 미국이 전체의 절반(50%)을 차지해 가장 많은 공격을 받았고, 이탈리아(13%), 호주(5%), 영국(4%) 등이 뒤를 이었다. 한국은 전체의 1% 수준으로 집계됐다.
보고서는 북한이 블록체인·암호화폐, 국방·제조업, 동아시아 정책 관련 기관을 주요 표적으로 삼고 있으며, 이는 수익 창출과 정보 수집이라는 국가적 목적을 반영한 것이라고 지적했다. 한편 올해 러시아의 사이버 공격도 증가해, 공격 빈도 상위 10개국 중 9곳이 북대서양조약기구(NATO) 회원국으로 나타났다.