맨디언트, 사이버 범죄로 자금을 조달하는 북한 공격 그룹 ‘APT43’ 보고서 발표
APT43, 탈취한 암호화폐 추적 어려운 세탁 과정 거쳐 스파이 활동 지원, 첩보 수집, 이메일 공격도 이어가

[보안뉴스 박은주 기자] 김수키(Kimsuky), 탈륨(Thalium)으로 잘 알려진 북한의 해킹그룹 ‘APT43’이 사이버 범죄로 벌어들인 돈이 북한의 스파이 활동을 지원하는 자금으로 사용되고 있다. APT43은 자금 마련뿐만 아니라 스피어피싱, 크리덴셜 스터핑 등 사이버 공격을 통해 첩보 활동을 이어가고 있다.


글로벌 보안 파트너사 맨디언트가 미디어 브리핑을 열고 북한의 공격그룹 ‘APT43’을 분석한 보고서를 4일 발표했다. APT43은 사이버 범죄를 통해 북한 첩보 작전에 필요한 자금을 조달하는 것으로 확인됐다.

맨디언트의 수석 애널리스트 루크 맥나마라는 “APT43는 북한의 정찰총국과 관련된 그룹으로 보인다”며 “주로 암호화폐를 노리거나 첩보나 기밀정보 특히 핵관련 정보를 수집하는 그룹”이라고 말했다.

2022년 9월 APT42 발표 이후 공식적인 이름을 붙인 공격 그룹인 APT43에 대한 상세 분석 정보를 보고서로 발간했다고 말했다. 맨디언트가 이전에 발표한 APT38 또한 북한과 관련한 공격 그룹으로는 ‘라자루스’라는 이름으로 잘 알려져 있다. 맨디언트는 구글 클라우드와 긴밀한 협력을 통해 이번 보고서를 발표했다고 밝혔다.

보고서에는 APT43이 노리는 주요 공격 대상과 TTP(전술, 기술, 절차)에 대한 분석, 캠페인 및 작전 예시, 멀웨어 및 지표 등의 내용이 담겨 있다. 맨디언트는 2018년 이후 APT43을 추적해왔다. APT43의 우선순위는 북한의 해외, 대남 정보 기구인 ‘정찰총국(RGB: Reconnaissance General Bureau)’의 임무와 일치하는 것으로 확인됐다.

APT43은 북한의 자력갱생 이념에 맞게 인프라 구매를 위해 암호화폐를 훔쳐 자금 세탁했다. 이 자금으로 사이버 위협 활동에 필요한 중앙 정부의 재정 부담을 줄인 것이다. APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴하는 방식으로 자금을 마련했다. 피해자 지갑에서 암호화폐를 훔친 다음, 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매했다. 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채굴해 채웠다.

루크 맥나마라는 “암호화폐 세탁을 거쳐 새로운 지갑에 새로운 암호화폐를 채우면 추적이 어려워진다”며 “APT43은 치밀하고 고도화된 자금 세탁 과정을 거치고 있다”고 말했다.


또한, 스파이 작전 대상은 대한민국, 일본, 유럽, 미국 같은 지역에 집중돼 있는 것으로 드러났다. 이 지역에 있는 정부, 비즈니스 서비스 및 제조업과 함께 지정학적 정책 연구를 하는 기관 및 싱크 탱크가 공격 그룹의 주요 타깃이다. 또한, 이 2020년~2021년 동안 건강 관련 업종으로 공격의 초점을 옮기기도 했는데, 북한의 코로나19 대응을 위한 일환으로 추측했다.

루크 맥나마라는 “코로나19 관련 제약회사의 정보나 관련 연구를 진행하는 대학의 자료를 노리는 경우가 많았다”고 발표했다.

또한, APT43은 사회공학적 기법을 이용하기 위해 수많은 스푸핑 및 사기 페르소나를 만들어온 것으로 밝혀졌다. 이에 루크 맥나마라는 “APT43은 멀웨어가 포함되지 않은 이메일로도 사칭을 통해 많은 답변을 이끌어냈다”고 말했다. 게다가 외교나 국방의 관계자로 위장해 도난당한 개인식별 정보(PII)를 활용해 계정을 만들고 도메인을 등록했고, 운영 도구 및 인프라 구매를 위해 위장 신분을 만들기도 했다.

APT43은 사이버 범죄를 통해 북한의 스파이 활동을 지원하고 있고, 장기간에 걸친 작전은 물론 다른 북한의 스파이 조직과 협력해온 것으로 드러났다. 이를 통해 APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다. APT43에 대한 더 자세한 내용은 맨디언트 보고서에서 확인할 수 있다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>