임종철 디자이너 /사진=임종철 디자이너
미국 사이버 보안회사이자 구글의 자회사인 맨디언트는 4일 북한 공격 그룹 'APT43'에 대한 분석 보고서를 통해 "APT43의 우선 순위는 북한의 해외·대남 정보기구인 정찰총국의 임무와 일치한다"며 "APT 43은 운영 인프라를 구매하기 위해 암호화폐를 훔치고 자금세탁을 했다"고 밝혔다.
APT 43이란 '지능형 지속 위협'을 의미하는 APT에 43번째 분류코드를 달아 만든 이름이다. 맨디언트는 기존 킴수키, 탈륨 등으로 명명됐던 그룹에 APT43이라는 이름을 붙였다. 맨디언트는 2018년 이후 이 그룹을 추적하며 증거를 모아 왔고 구글클라우드와 긴밀한 협력을 통해 이번 보고서를 내놨다.
스피어피싱용 개인식별정보(PII) 수집을 위한 타깃은 종교단체, 비정부기구, 대학교 등을 비롯해 학자, 정치인, 블로거, 언론인 등으로 넓어졌다. 지난해 중반부터는 사회문제, 인권, 학문, 종교, 암호화폐 관련 소셜 미디어 사용자들로까지 공격대상 층이 확대됐다.
다만 2021년에는 헬스케어 및 제약 산업을 대상으로 공격이 자행됐다. 북한에서 코로나19가 유행할 당시 전염병 대응 전략의 일환으로 APT43의 해킹 역량을 활용한 것으로 풀이됐다.
맨디언트는 "북한의 국가적 우선 순위가 극적으로 변하지 않는 한 APT43이 스파이 및 금융 관련 활동을 전개하는 것은 앞으로도 지속될 것"이라며 "사이버 활동에 대한 북한의 의존도는 더 심화될 것"이라고 전망했다.