'김수키'(Kimsuky) 또는 '탈륨'(Thallium)이라는 이름으로 알려진 북한 해킹그룹 'APT43'이 개인 암호화폐를 탈취하고 이를 클라우드 마이닝 등을 통해 돈세탁을 벌이고 있는 것으로 확인됐다.
맨디언트는 4일 서울 용산구에서 미디어 영상 브리핑을 열고 이 같은 내용을 담은 '북한 공격 그룹 APT43 분석 보고서'를 발표했다. 맨디언트는 글로벌 사이버 보안 기업이자 구글 클라우드 파트너사다.
맨디언트는 위협 행위자 활동을 추적·관찰한다. 특정 공격 그룹으로 묶을 수 있을 만큼 증거가 충분히 쌓이면 특정 위협 주체로 이름을 붙인다. 2018년부터 추적해온 북한 해킹그룹을 APT43으로 명명했다.
맨디언트는 APT43을 북한의 정보기구인 정찰총국 소속 해킹그룹으로 확신한다. 정찰총국(RGB) 임무와 일치하는 것으로 파악됐다는 것이 회사측 설명이다. 주요 표적은 미국과 한국이다. 다양한 산업군을 타깃으로 삼았지만 핵 관련 정보 수집이라는 공통점이 있다.
루크 맥나마라 맨디언트 수석 애널리스트는 “다양한 산업군에서 핵 정보라는 동일한 주제로 표적을 선정했다는 것을 확인했다”면서 “대학 등 고등교육기관, 정부, 시민단체 내부에서 핵 관련 인물을 대상으로 했다”고 설명했다. 이어 “코로나19 확산세가 심각했던 2021년에는 코로나19 백신 등 제약 관련 정보도 수집했다”고 덧붙였다.
APT43은 자금 확보에도 열을 올렸다. 암호화폐 관련 범죄 활동이 대표적이다.
암호화폐 뉴스 제공 홈페이지를 개설하고 방문자 디바이스에 멀웨어가 설치되도록 해 암호화폐를 보유한 개인을 타깃팅, 탈취했다. 훔친 암호화폐는 해시(hash)를 임대하거나 클라우드 마이닝 서비스에서 해시 파워(hash power)를 구매하는 식으로 추적을 따돌렸다.
맨디언트는 APT43 외에도 정찰총국 아래 'APT38' '템프허밋' '안다리엘' 등 해킹그룹들이 활동하고 있는 것으로 파악했다. APT38 역시 지속 추적하고 있으며, 주로 반체제 인사 정보를 수집하는 것으로 본다.
맥나마라 수석 애널리스트는 “APT43은 사이버 범죄를 통해 북한 스파이 활동을 지원할 수 있고 북한 내 다른 스파이 조직과 협력해왔다”면서 “APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다”고 밝혔다.
조재학기자 2jh@etnews.com
