"北해킹그룹 김수키, 암호화폐 훔쳐 김정은 정권 자금 조달"
구글 파트너 맨디언트, 'APT43' 명명…"北정찰총국과 임무 우선순위 일치 확인"
"타깃은 대한민국·미국 정부…핵 정책·코로나19 관련 정보 갈취 집중"
(서울=연합뉴스) 이정현 기자 = '김수키'(Kimsuky) 또는 '탈륨'(Thallium)이라는 이름으로 잘 알려진 북한 해킹그룹 'APT43'이 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하는 것으로 확인됐다.
글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트의 루크 맥나마라 수석 애널리스트는 4일 화상 미디어브리핑을 통해 이 같은 내용을 골자로 APT43을 분석한 보고서를 발표했다.
맨디언트는 사이버상 여러 위협 행위를 관찰하며 정보를 쌓다가 충분한 판단 근거를 내릴 수 있는 시점이 되면 특정 위협 주체로 이름 붙이는데, APT43도 마찬가지다. 맨디언트가 2018년부터 추적해온 APT43은 지난해 9월 'APT42' 발표 이후 처음으로 공식 명칭을 붙인 북한 해킹 그룹이다.
보고서에는 APT43이 노리는 주요 공격 대상과 그들이 사용하는 TTP(전술·기술·절차)에 대한 분석, 캠페인과 작전 예시, 악성 소프트웨어 및 지표 등 내용이 담겼다.
맨디언트 추적 결과 APT43 활동의 우선순위는 북한의 해외·대남 정보기구인 정찰총국(RGB)의 임무와 일치하는 것으로 파악됐다. 핵 정책 관련 정보와 코로나19 연구 정보 갈취 등 활동에 집중한 정황이 포착됐다.
맥나마라는 "정찰총국 아래 APT43 외에도 'APT38', '템프허밋', '안다리엘' 등 해킹 그룹들이 서로 기술을 공유하며 활동 중인 것으로 파악한다"며 "국가안전보위성 산하 'APT37'은 반체제인사를 타깃으로 하는 것으로 보고 있다"고 설명했다.
또 APT43은 북한 주체사상에 부합하는 방식으로 운영 인프라를 구매하고자 암호화폐를 훔쳐 자금 세탁을 한 것으로 나타났다. 그리고 이를 통해 사이버 위협 활동에 쓰이는 북한 정부 재정 부담을 줄이는 역할을 했다.
APT43의 표적은 대한민국·일본·유럽·미국 등 국가에 집중됐다.
이들 지역에 있는 정부·기업·지정학적 정책 연구기관·싱크탱크가 주요 타깃이었다. 한국에서는 기자를 사칭한 활동으로도 문제가 됐으며, 2021년에는 북한의 전염병 대응을 위해 건강 관련 업종으로 공격의 초점을 옮기기도 한 것으로 파악됐다.
APT43은 수없이 데이터 위·변조를 했으며 특히 외교나 국방 부문에 몸담은 개인으로 가장하고, 도난당한 개인 정보로 계정을 만들고 도메인을 등록했다.
APT43은 이렇게 활동하며 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(hash)를 임대하거나 클라우드 마이닝 서비스에서 해시 파워(hash power)를 구매하는 식이다.
맥나마라는 "일시적으로 의료·제약 분야로 공격 표적을 전환한 것에서 알 수 있듯이 APT43은 북한 지도부의 요구에 매우 민감하게 반응한다"면서 "APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다"고 밝혔다.
lisa@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
구글 파트너 맨디언트, 'APT43' 명명…"北정찰총국과 임무 우선순위 일치 확인"
"타깃은 대한민국·미국 정부…핵 정책·코로나19 관련 정보 갈취 집중"
(서울=연합뉴스) 이정현 기자 = '김수키'(Kimsuky) 또는 '탈륨'(Thallium)이라는 이름으로 잘 알려진 북한 해킹그룹 'APT43'이 사이버 범죄를 통해 북한 김정은 정권의 첩보 작전에 필요한 자금을 조달하는 것으로 확인됐다.
글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트의 루크 맥나마라 수석 애널리스트는 4일 화상 미디어브리핑을 통해 이 같은 내용을 골자로 APT43을 분석한 보고서를 발표했다.
맨디언트는 사이버상 여러 위협 행위를 관찰하며 정보를 쌓다가 충분한 판단 근거를 내릴 수 있는 시점이 되면 특정 위협 주체로 이름 붙이는데, APT43도 마찬가지다. 맨디언트가 2018년부터 추적해온 APT43은 지난해 9월 'APT42' 발표 이후 처음으로 공식 명칭을 붙인 북한 해킹 그룹이다.
보고서에는 APT43이 노리는 주요 공격 대상과 그들이 사용하는 TTP(전술·기술·절차)에 대한 분석, 캠페인과 작전 예시, 악성 소프트웨어 및 지표 등 내용이 담겼다.
맨디언트 추적 결과 APT43 활동의 우선순위는 북한의 해외·대남 정보기구인 정찰총국(RGB)의 임무와 일치하는 것으로 파악됐다. 핵 정책 관련 정보와 코로나19 연구 정보 갈취 등 활동에 집중한 정황이 포착됐다.
맥나마라는 "정찰총국 아래 APT43 외에도 'APT38', '템프허밋', '안다리엘' 등 해킹 그룹들이 서로 기술을 공유하며 활동 중인 것으로 파악한다"며 "국가안전보위성 산하 'APT37'은 반체제인사를 타깃으로 하는 것으로 보고 있다"고 설명했다.
또 APT43은 북한 주체사상에 부합하는 방식으로 운영 인프라를 구매하고자 암호화폐를 훔쳐 자금 세탁을 한 것으로 나타났다. 그리고 이를 통해 사이버 위협 활동에 쓰이는 북한 정부 재정 부담을 줄이는 역할을 했다.
APT43의 표적은 대한민국·일본·유럽·미국 등 국가에 집중됐다.
이들 지역에 있는 정부·기업·지정학적 정책 연구기관·싱크탱크가 주요 타깃이었다. 한국에서는 기자를 사칭한 활동으로도 문제가 됐으며, 2021년에는 북한의 전염병 대응을 위해 건강 관련 업종으로 공격의 초점을 옮기기도 한 것으로 파악됐다.
APT43은 수없이 데이터 위·변조를 했으며 특히 외교나 국방 부문에 몸담은 개인으로 가장하고, 도난당한 개인 정보로 계정을 만들고 도메인을 등록했다.
APT43은 이렇게 활동하며 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(hash)를 임대하거나 클라우드 마이닝 서비스에서 해시 파워(hash power)를 구매하는 식이다.
맥나마라는 "일시적으로 의료·제약 분야로 공격 표적을 전환한 것에서 알 수 있듯이 APT43은 북한 지도부의 요구에 매우 민감하게 반응한다"면서 "APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다"고 밝혔다.
lisa@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
