[아이뉴스24 김혜경 기자] "북한 해킹조직인 'APT43'은 핵 개발 정보를 수집하기 위해 스피어 피싱을 사용한다. 멀웨어(악성 소프트웨어)를 메일에 첨부하지 않는 방식을 활용한다는 점이 특이한데 상당수가 회신을 한 것으로 나타났다. 멀웨어가 없더라도 소기의 목적을 달성할 수 있다는 의미로 추정된다."
![북한 해킹그룹 'APT43'이 기자를 사칭해 특정 기관 연구원에 발송한 메일. [사진=김혜경 기자]](https://image.inews24.com/v1/c4ede5c71773c4.jpg)
4일 서울 용산에서 열린 맨디언트 미디어 브리핑에서 루크 맥나마라 수석 애널리스트는 APT43 분석 보고서를 공개하고 이같이 전했다. 맨디언트는 글로벌 보안기업으로 구글 클라우드 자회사다.
맨디언트가 명명한 APT43은 '지능형 지속 위협'을 감행하는 공격그룹이란 뜻으로 '킴수키(Kimsuky)'로 알려진 북한 정찰총국(RGB) 산하 조직이다. 맨디언트는 몇 년간 여러 사이버 위협 활동을 추적, 특정 공격그룹의 행위라고 판단될 경우 이 같은 이름을 붙인다. APT43의 경우 2018년부터 추적해 왔다.
맥나마라 수석 애널리스트는 "APT43은 암호화폐를 탈취하기도 하지만 이들 조직의 주요 활동은 정보 수집"이라며 "지역별 특정 산업군을 겨냥해 공격하는데 한국의 경우 제조업을 노린 공격이 많았다"고 말했다.
그는 "메일 발송 시 언론인 등을 사칭해 특정 분야 전문가나 싱크탱크 연구원의 답변을 유도한다"며 "멀웨어를 첨부하지 않는 방식도 많이 포착됐는데 대다수 피해자들은 답변을 했을 뿐만 아니라 상당히 구체적인 내용을 알려준 경우도 많았다"고 강조했다.
멀웨어가 없을 경우 탐지를 회피하거나 수신자가 의심할 가능성이 낮아지므로 정보 수집이 좀 더 용이하다는 설명이다. 맥나마라 애널리스트는 "메일에 악성파일이나 링크가 없더라도 반드시 발신자를 확인해야 한다"며 "각국에 파견된 자국 스파이가 부족하므로 피싱 메일을 활용해 정보 수집 공백을 메우는 것으로 추정된다"고 분석했다.
탈취한 암호화폐를 세탁해 다른 화폐로 바꿔치기하는 것도 APT43의 수법이다. 맨디언트에 따르면 이들 조직은 암호화폐를 훔친 후 클라우드 마이닝 서비스 등에서 해시 파워(암호화폐 채굴권)를 구매했다. 구매한 채굴권을 이용해 다른 지갑에 다른 암호화폐를 채우는 방식이다.
맥나마라 애널리스트는 "APT43 외 다른 북한 연계 해킹그룹은 랜섬웨어를 활용하기도 한다"며 "'락빗'과 같은 서비스형 랜섬웨어(RaaS)를 구매해 사용하기도 하지만 '홀리고스트' 등 이들 조직이 직접 랜섬웨어를 만들어 공격하는 사례도 포착된 바 있다"고 전했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기