"北 해커 '킴수키'는 핵 개발 관련 첩보 그룹"

맨디언트, 'APT43' 보고서 발간…적어도 2018년부터 활동한 것으로 추정

컴퓨팅입력 :2023/04/04 16:10

구글클라우드가 인수한 보안 업체 맨디언트가 북한의 해커 그룹 'APT43'을 분석한 보고서를 발간했다. 해당 보고서에 따르면, '킴수키'라는 이름으로도 알려진 북한 해커 그룹 'APT43'의 주요 임무는 핵 개발 관련 정보 수집인 것으로 나타났다.

맨디언트는 4일 미디어 브리핑을 열고 APT43 분석 보고서를 발표했다. 이번 분석 보고서에는 APT43이 노리는 주요 공격 대상과 그들이 사용하는 전술·기술·절차(TTP) 등에 대한 분석 내용이 담겼다.

맨디언트가 공식적으로 해커 그룹에 이름을 붙인 것은 지난해 9월 'APT42' 발표 이후 처음이다.

(사진=이미지투데이)

■ APT43, 그들은 누구인가…북한 정찰총국 산하 해커 그룹

'APT43'이라고 명명된 해커 그룹은 '킴수키(Kimsuky)'라는 이름으로 보다 잘 알려져 있다.

맨디언트는 APT43은 북한 정찰총국(RGB)과 연관있는 그룹이라고 판단했으며, 적어도 맨디언트가 추적을 시작한 2018년부터 활동해왔다고 밝혔다.

맨디언트에 따르면 APT43의 규모는 확실히 파악되지 않고 있다. 맨디언트 루크 맥나마라 수석 애널리스트는 "APT43의 규모는 확실히 파악되지 않았지만, 역할이 다른 여러 구성원이 있을 것으로 본다"며 "멀웨어 개발 담당자, 해시렌탈 구매 담당자, 공격 이메일을 작성하는 담당자 등 각기 다른 역할을 가진 담당자들이 있을 것으로 생각한다"고 말했다.

■ 무엇을 노리나…핵 개발 관련 정보 수집이 주요 임무

맨디언트에 따르면 APT43의 주요 미션은 첩보다. 특히, 북한 정부를 위해 핵 개발 관련 정보를 수집하는 것으로 분석됐다.

루크 맥나마라는 "APT43은 북한에게 굉장히 중요한 그룹이다"라며 "이 그룹은 가상화폐를 노리기도 했지만, 주요 미션은 첩보로 핵 관련 정보를 수집한다"고 설명했다. 이어 "코로나19 기간에는 백신 관련 정보도 수집했다"고 덧붙였다.

맨디언트는 APT43이 타겟팅한 산업군은 다양하다고 밝혔다. 다만 각각의 산업군을 타겟팅한 이유는 '핵 정책'이라는 동일한 주제와 관련이 있다고 밝혔다.

루크 맥나마라는 "대학 같은 고등교육기관이나 정부, 시민단체를 타깃으로 삼았다"며 "다양한 산업군을 타겟팅하는 것처럼 보이지만, 사실은 핵 정책과 관련된 인물을 타겟팅했다는 점에서 동일한 목적이었다"고 설명했다.

지역별로 특정 산업군을 목표로 삼기도 했다. 루크 맥나마라는 "한국의 제조업을 타겟팅했는데, 그 이유는 북한의 RGB가 북한으로 수입 금지된 물품이 뭔지 알아내기 위한 것으로 보인다"고 말했다.

2020년부터는 제약 산업을 목표로 삼는 모습이 두드러지기도 했다. 코로나19가 발생하면서 백신과 치료법 연구가 많이 나왔을 때, 이와 관련된 연구를 하는 대학을 목표로 삼았다는 설명이다.

■ 어떤 공격 기법 사용하나…스피어피싱, 크리덴셜 방식 주로 사용

APT43은 주로 ▲특정 대상에 멀웨어가 첨부된 악성 이메일을 보내는 '스피어피싱'과 ▲사람들의 인증정보를 수집하는 '크리덴셜' 공격 기법을 사용했다.

APT43의 독특한 점은 스피어피싱의 경우, 이메일에 멀웨어를 첨부하지 않고 정상 이메일을 보내기도 했다는 점이다. 루크 맥나마라는 "싱크탱크 구성원 또는 기자를 사칭해 정책 관련자에게 이메일로 북한의 핵실험 또는 대북정책과 관련한 질문을 보내기도 했다"며 "이런 경우 이메일에는 멀웨어가 포함되지 않았으며, 질문만 적어 놓은 정상 이메일이었다"고 설명했다. 이어 "이러한 공격자가 보낸 이메일에 정책 관련자는 거리낌없이 답변을 했다"며 "해당 답변을 받은 사람은 결국 북한의 정찰총국이었던 셈"이라고 말했다.

그는 "멀웨어를 사용하지 않고도 APT43은 정보 수집을 성공적으로 수행했다"며 "이들의 공격이 사회공학적인 기법에 굉장히 능하다는 것을 알 수 있다"고 말했다.

APT43은 정보를 수집하기 위해 기자를 사칭해 멀웨어가 포함되지 않는 정상 이메일을 보내기도 했다. (자료=맨디언트)

크리덴셜 공격은 주로 언론사나 적법한 웹사이트로 보이는 가짜 로그인 사이트를 만들어 놓고, 사람들이 진짜 사이트인 줄 알고 로그인하면 해당 사람의 인증 정보를 수집하는 방식이다.

루크 맥나마라는 "코로나가 심각했던 시절에는 제약업체를 대상으로 크리덴셜 공격을 많이 했다"며 "또한 가상화폐 관련 뉴스를 제공하는 웹사이트를 사용해, 방문하면 멀웨어가 다운되는 방식으로 가상화폐를 사용하는 개인을 타겟팅하기도 했다"고 설명했다.

■ 자금 세탁에 능한 공격자…가상화폐로 돈 세탁하기도

맨디언트는 북한의 해커들은 '자금세탁에 능한 공격자'라고 분석했다.

맨디언트에 따르면 APT43은 해시 렌탈, 클라우드 마이닝 서비스 등을 이용해 자금 추적을 어렵게 만들었다. 예를 들어, 클라우드 마이닝 서비스에 비트코인이나 이더리움으로 돈을 지불하고 코인을 채굴한다. 새로 채굴한 코인은 새로운 월렛으로 들어와 누구의 것인지 추적하기 어려워진다. 이러한 방식으로 공격자들이 탈취한 자금을 새로운 자금으로 바꿔 추적을 회피한다는 설명이다.

루크 맥나마라는 "APT43이 이용한 코인 채굴 서비스 중 몇 개는 미국에 기반을 둔 서비스였다"고 말했다.

■ 주요 공격 대상은? 단연 한국

맨디언트는 APT43의 대부분의 공격 대상은 한국 조직이라고 밝혔다. 루크 맥나마라는 "결국 이들이 하는 일은 북한이 핵 프로그램을 진척시키는 데 사용된다"고 말했다.

그는 "북한이 계속해서 핵 무기 프로그램을 진행하고, 핵 실험을 진행하는 한 이들의 활동은 계속될 것으로 보인다"며 "이런 첩보 활동을 지원하기 위해 자금 조달을 위한 금전적인 동기의 활동도 활발히 수행할 것으로 예상된다"고 말했다.

관련기사

맨디언트는 개인이 이러한 공격을 피하기 위해서는 이메일을 받았을 때 발신자가 누구인지 확인하고, URL을 클릭하기 전에 해당 도메인이 신뢰할 수 있는지 확인할 필요가 있다고 말했다.

또한 가상화폐 사용자라면 더욱 주의해야 한다고 밝혔다. 루크 맥나마라는 "브라우저나 모바일 월렛을 사용할 때 어떤 권한을 해당 서비스에 주고 있는지 확인해야 한다"며 "악성 NFT를 보내서 공격한 사례도 있다"고 말했다.