"암호화폐 훔쳐서 자력갱생"… 5년간 北해커집단 추적, 보고서 나왔다

임종철 디자이너 /사진=임종철 디자이너

킴수키(Kimsuky) 또는 탈륨(Thalium)으로 알려진 북한 공격 그룹을 분석한 보고서가 나왔다.

미국 사이버 보안회사이자 구글의 자회사인 맨디언트는 4일 북한 공격 그룹 'APT43'에 대한 분석 보고서를 통해 "APT43의 우선 순위는 북한의 해외·대남 정보기구인 정찰총국의 임무와 일치한다"며 "APT 43은 운영 인프라를 구매하기 위해 암호화폐를 훔치고 자금세탁을 했다"고 밝혔다.

APT 43이란 '지능형 지속 위협'을 의미하는 APT에 43번째 분류코드를 달아 만든 이름이다. 맨디언트는 기존 킴수키, 탈륨 등으로 명명됐던 그룹에 APT43이라는 이름을 붙였다. 맨디언트는 2018년 이후 이 그룹을 추적하며 증거를 모아 왔고 구글클라우드와 긴밀한 협력을 통해 이번 보고서를 내놨다.

맨디언트에 따르면 APT43은 북한 지배층의 지정학적 이익과 일치하는 전략적 정보의 수집, 스파이 활동 지원용 자격증명 수집, 작전 자금을 확보하기 위한 사이버 범죄 등의 활동을 펼쳐 왔다. 특히 북한의 주체사상과 자력갱생 이념에 기반해 (북한) 중앙정부의 재정적 부담을 덜어주기 위해 이같은 활동을 전개해왔다. 주된 공격 수단은 '스피어피싱', 즉 타깃이 된 피해자를 속이기 위해 신뢰할 만한 지인을 사칭해 위장 메일을 발송해 감염시키는 방식이 쓰였다. APT43의 활동은 주로 한국과 미국, 일본, 유럽에 집중됐고 이들 지역의 정부, 핵 정책 관련 교육·연구기관 및 씽크탱크, 민간기업 등이 타깃이었다.

스피어피싱용 개인식별정보(PII) 수집을 위한 타깃은 종교단체, 비정부기구, 대학교 등을 비롯해 학자, 정치인, 블로거, 언론인 등으로 넓어졌다. 지난해 중반부터는 사회문제, 인권, 학문, 종교, 암호화폐 관련 소셜 미디어 사용자들로까지 공격대상 층이 확대됐다.

APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. APT43은 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매했다. 그리고 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채굴해 채웠다.

다만 2021년에는 헬스케어 및 제약 산업을 대상으로 공격이 자행됐다. 북한에서 코로나19가 유행할 당시 전염병 대응 전략의 일환으로 APT43의 해킹 역량을 활용한 것으로 풀이됐다.

맨디언트는 "북한의 국가적 우선 순위가 극적으로 변하지 않는 한 APT43이 스파이 및 금융 관련 활동을 전개하는 것은 앞으로도 지속될 것"이라며 "사이버 활동에 대한 북한의 의존도는 더 심화될 것"이라고 전망했다.