북한 해킹그룹 ‘APT43’이 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하는 것으로 파악됐다.
글로벌 사이버 보안 기업 맨디언트의 루크 맥나마라 수석 애널리스트는 4일 화상 미디어브리핑에서 APT43을 분석한 보고서를 발표했다.
APT43은 ‘김수키'(Kimsuky) 또는 ‘탈륨'(Thallium)이라는 이름으로 알려진 북한 정찰총국(RGB) 산하 조직이다.
맨디언트는 몇 년간 여러 사이버 위협 활동을 추적해 특정 공격그룹의 행위라고 판단될 경우 이름을 붙이고 있는데, APT43는 ‘지능형 지속 위협’을 감행하는 공격그룹이란 뜻이다. APT43의 경우 2018년부터 맨디언트의 추적을 받아온 것으로 전해졌다.
이날 발표된 보고서에는 APT43이 노리는 주요 공격 대상과 그들이 사용하는 TTP(전술·기술·절차)에 대한 분석, 캠페인과 작전 예시, 악성 소프트웨어 및 지표 등 내용이 담겼다.
맥나마라 수석 애널리스트는 “APT43은 암호화폐를 탈취하기도 하지만 이들 조직의 주요 활동은 정보 수집”이라며 “지역별 특정 산업군을 겨냥해 공격하는데 한국의 경우 제조업을 노린 공격이 많았다”고 소개했다.
이어 “APT43 활동의 우선순위는 북한의 해외·대남 정보기구인 정찰총국(RGB)의 임무와 일치하는 것으로 파악됐다”며 “핵 정책 관련 정보와 코로나19 연구 정보 갈취 등 활동에 집중한 정황이 포착됐다”고 전했다.
또 “정찰총국 아래 APT43 외에도 ‘APT38’, ‘템프허밋’, ‘안다리엘’ 등 해킹 그룹들이 서로 기술을 공유하며 활동 중인 것으로 확인됐다”면서 “국가안전보위성 산하 ‘APT37’은 반체제인사를 타깃으로 하는 것으로 보고 있다”고 설명했다.
그는 “APT43은 북한 주체사상에 부합하는 방식으로 운영 인프라를 구매하고자 암호화폐를 훔쳐 자금 세탁을 하고 있다”며 “이를 통해 사이버 위협 활동에 쓰이는 북한 정부 재정 부담을 줄이는 역할을 한다”고 지적했다.
아울러 “메일 발송 시 언론인 등을 사칭해 특정 분야 전문가나 싱크탱크 연구원의 답변을 유도한다”며 “멀웨어를 첨부하지 않는 방식도 많이 포착됐는데 대다수 피해자들은 답변을 했을 뿐만 아니라 상당히 구체적인 내용을 알려준 경우도 많았다”고 강조했다.
그러면서 “APT43은 수없이 데이터 위·변조를 했으며 특히 외교나 국방 부문에 몸담은 개인으로 가장하고, 도난 당한 개인 정보로 계정을 만들고 도메인을 등록했다”며 “이렇게 활동하며 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다”고 짚었다.
맥나마라는 “일시적으로 의료·제약 분야로 공격 표적을 전환한 것에서 알 수 있듯이 APT43은 북한 지도부의 요구에 매우 민감하게 반응한다”면서 “APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다”고 평가했다.