북한이 여전히 가상화폐를 통해 막대한 자금을 탈취하고 있는 것으로 나타났다.
미치 해저드(Mitch Haszard) 수석연구원은 4일 레코디드퓨처코리아가 개최한 ‘북한 가상자산 세탁 차단 심포지엄’에서 오랜 기간 추적해온 북한 사이버공격그룹의 특징을 설명했다.
해저드 수석연구원에 따르면 북한의 사이버 공격은 여전히 기승을 부리고 있다.
특히 북한 해커 조직으로 알려진 김수키가 가장 활발한 활동을 보인 것으로 나타났다. 김수키의 공격 횟수는 100건 이상을 차지했으며, 이는 전체 북한의 사이버 공격 중 37%에 해당한다. 김수키 공격은 정보탈취 목적의 공격 활동이 대부분으로 파악됐다.
그 다음으로는 라자루스가 70건 수준으로 두드러진 활동을 보였다. 라자루스는 정보 탈취뿐만 아니라 금전(외화벌이) 목적은 물론 (서비스) 방해 공격과 파괴 공격도 드물게 벌이고 있는 것으로 분석됐다.
이외에 APT37, APT38, 안다리엘가 주요 공격그룹으로 꼽혔다. APT38과 안다리엘은 활동이 적지만 사이버공격 영향력이 덜한 것은 아니었다. 두 그룹은 금융기관과 암호화폐거래소 등에서 수억달러를 탈취한 것으로 파악됐다.
북한 해킹 그룹들은 지난 2022년에만 약 17억달러 상당의 가상자산을 탈취했다. 이 규모는 북한 경제의 5%, 북한 군사 분야 전체 예산의 45%에 해당된다.
주요 사이버공격 대상이자 공격 피해산업으로는 정부기관이 가장 많고, 그 뒤로 가상자산, 미디어, 전통 금융, 방위 산업과 비정부기구(NGO) 순이었다.
해저드 수석연구원은 “이 같은 결과는 북한 정권의 전략적 목표와 일치한다. 가상자산은 북한에 매우 중요한 수익원”이라고 설명했따.
그룹별로 분석해 보면, 김수키와 APT37은 주로 정부와 미디어, NGO 대상 공격에 집중하고 있었고, 라자루스는 가상자산과 금융 산업 대상 공격이 많았다.
APT38은 가상자산과 금융회사 타깃 사이버공격에 주력했고, 안다리엘은 NGO와 중요 인프라 산업을 주로 공격하고 었었다.
최근에는 퍼플알파(PurpleAlpha)를 비롯해 TAG-66, TAG-71, TAG-77 그룹이 새로운 북한 해킹 그룹으로 추정됐다.
이 가운데 퍼플알파 활동이 가장 많이 포착됐다. 퍼플알파의 활동은 김수키와 공통점이 많고, 아시아와 유럽에서 주로 활동한다.