세계 금융기관 노린 APT38, 배후에는 北 정권

[아이뉴스24 성지은 기자] 외화벌이를 위해 금융기관을 집중 공격하는 북한 해커그룹이 공개됐다. 이들은 해킹에 성공하기 위해 공격 대상 시스템에 2년 가까이 잠복하고, 전문 악성코드를 제작하는 등 주도면밀한 모습을 보였다.

이 해커그룹이 탈취를 시도한 금액만 11억달러(1조2천300여억원)가 넘는 것으로 추산된다. 북한이 무기 개발 실험을 지속하는 가운데, 이에 필요한 자금을 마련하기 위해 북한 정부의 지원을 받는 해커그룹이 금융기관을 노린 것으로 분석된다.

미 사이버보안 기업 파이어아이는 3일(현지시간) 미국 워싱턴.D.C 힐튼호텔에서 '파이어아이 사이버 디펜스 서밋 2018'을 열고 전 세계 금융기관을 노리는 북한 해커그룹 'APT38'의 공격 사례를 발표했다. 파이어아이는 수년간 이 그룹의 전술·기술·절차(TTP)를 분석했고 APT38이 북한 정권의 지원을 받는다고 결론을 내렸다.

APT는 지능형 지속 위협(Advanced Persistent Threat)의 줄임말로, 방어 체계를 피해 지능적으로 공격하는 것을 말한다. 북한 정부의 지원을 받는 이 그룹은 자금 탈취를 위해 평균 155일, 최대 2년간 잠복하며 공격 대상의 내부 시스템을 정찰하는 등 지능적인 모습을 보였는데, 파이어아이는 이에 해당 그룹을 APT38로 명명했다.

조사에 따르면, APT38은 2014년 이후 최소 11개국 16개 이상의 금융기관에서 돈을 빼가기 위해 해킹을 시도했다. 베트남 티엔퐁 은행(2015년 12월), 방글라데시 중앙은행(2016년 2월), 대만 원동국제상업은행(2017년 10월), 멕시코 공적수출신용기관 방코멕스트(2018년 1월), 중남미 민영은행 칠레은행(2018년 5월) 등이 공격을 받았다.

2015년 에콰도르 은행 방코 델 오스트로가 해킹을 당해 1천2백만달러를 도난당한 바 있는데, 파이어아이는 APT38이 이 공격을 단행했는지 확신할 수 없으나 이전에 남미기업을 공격한 바 있다고 밝혔다.

해킹 시 APT38은 공격에 성공하기 위해 용의주도하게 움직였다. 먼저 연계 회사, 내부 직원 등을 통해 공격 대상 시스템에 대한 정보를 수집한 뒤 취약점 공격 등으로 내부 시스템에 접근했다.

이후 악성코드 등을 통해 수개월에 걸쳐 전체 시스템에 대한 구성을 파악했고 국제은행 간 자금결제 통신망인 스위프트(SWIFT) 시스템을 대상으로 악성코드, 백도어(뒷문) 등을 만들어 자금을 빼돌리려 했다.

스위프트는 은행 간 거래에 사용되는 만큼 복잡한 구조를 지녔는데, APT38은 이점을 고려해 전문 해킹도구까지 제작하고 거래 데이터를 조작해 공격 흔적을 지우려 했다. 대표 해킹도구가 다이팩(DYEPACK)이다. APT38은 스프위트 시스템에서 거래 정보를 조작하고 해킹 흔적을 지우기 위해 이 도구를 사용했다.

또한 악성코드 개발 과정에서 북한 정부가 지원하는 또 다른 해커조직 '템프허밋(TEMP.Hermit)' 등과 협업했다. 파이어아이는 미법무부(DOJ)의 최근 발표를 종합, APT38과 템프허밋 등 정부 지원 해커그룹이 북한정찰총국(RGB) 제6차 기술국 산하기관인 '랩110'과 연계돼 있다고 분석했다.

랩 110은 사이버공격 전술 개발 목적으로 만들어진 북한 정예 조직. 최근 미법무부는 박진혁이란 북한 해커를 미 소니픽처스 해킹 혐의 등으로 기소했는데, 그는 북한 대표 해커조직인 '라자루스(Lazarus)' 소속으로 랩110과 연계된 위장회사에서 근무했다.

파이어아이는 APT38, 템프허밋, 라자루스 등 북한 정권이 배후에 있는 해커조직을 언급하며, 각 조직이 자금 탈취, 사이버 간첩, 파괴적 활동에 초점을 맞추고 공격을 추진한다고 분석했다. 또 라자루스는 상위 해커조직으로 APT38, 템프허밋 등 세부조직과 해킹정보 등을 공유한다고 파악했다.

산드라 조이스 파이어아이 글로벌 인텔리전스 운영 부사장은 "북한에 대한 경제적 제재가 해킹 공격에 영향을 미쳤다"며 APT38이 금융기관을 노리는 배경을 설명했다. 이어 "북한 정권의 지원을 받는 해커그룹은 세부적인 공격 목적이 다르지만, (북한 정권을 위해 일하고) 대의를 공유하고 있다"고 말했다.

재클린 오리어리 파이어아이 수석 연구원은 "대규모 자원과 방대한 네트워크를 바탕으로 APT38이 공격을 계속할 것"이라며 "금융기관을 공격했지만 실패한 사례도 여럿 있는데, 향후 APT38이 새로운 전략을 구사할 수 있다"고 예상했다.