“北해킹그룹 ‘김수키’ 암호화폐 훔치고 세탁…김정은 간첩작전 돈줄”

[레이더P]
美보안기업 ‘맨디언트’ 분석보고서
2018년부터 추적해 ‘APT43’ 명명

미국 사이버보안기업 ‘맨디언트’가 내놓은 北해킹그룹 관련 보고서 표지.

‘김수키(Kimsuky)’라는 별칭으로 알려진 북한 해킹그룹이 암호화폐 절도 등 사이버 범죄를 통해서 김정은 정권의 스파이 작전 자금을 조달하고 있다는 분석이 4일 제기됐다.

이날 미국의 사이버보안기업 ‘맨디언트’는 이 그룹을 장기 간 추적해 ‘APT43’라고 이름 붙이고 관련 동향을 담은 분석 보고서를 내놨다. 맨디언트는 사이버상에서 각종 위협 행위들을 추적하며 정보를 축적하다가 주체를 특정할 수 있는 시점이 되면 이처럼 별도 명칭을 붙인다. 이 회사는 지난 2018년부터 APT43의 활동을 관찰해왔다고 설명했다.

맨디언트는 APT43 활동 우선순위가 북한의 대남·해외 첩보기구인 정찰총국의 임무와 일치하는 것으로 파악됐다고 밝혔다. 이 그룹이 암호화폐를 훔치고 세탁해 북한이 북한 정부의 재정 부담을 줄이며 자력갱생 방침을 지원하고 있다는 것이다.

맨디언트는 APT43이 한국과 일본, 미국과 유럽 등지의 정부와 비즈니스 서비스, 제조업은 물론 지정학과 핵 정책에 중점을 둔 교육과 연구 등의 분야에 대해 집중적으로 스파이 활동을 펼치고 있다고 분석했다.

특히 이 그룹은 2021년에는 북한 내 코로나19 대응을 위해 보건 관련 업종으로 활동 초점을 옮겼다고 지적했다.

보고서에 따르면 APT43은 스파이 활동에 필요한 온라인 계정을 만들기 위해 도난당한 개인식별정보(PII)를 활용했다. 또 훔친 정보를 통해 보안·국방 관련 종사자 등 가상의 인물을 만드는 데에도 능숙했다.

맨디언트는 APT43이 2021년 말에는 한국과 일본의 종교단체와 대학, 비정부기구 등 ‘트랙2(비공식)’ 외교 채널을 사이버 공격 목표로 삼았다고 설명했다. 이어 2022년 초에는 주로 한국 내 학자와 언론인, 그해 중반까지는 한국 내 블로거와 인권·학계·암호화폐 관련 소셜미디어 사용자들로 공격대상을 옮긴 점에 주목했다.

이날 맨디언트의 루크 맥나마라 수석 애널리스트는 브리핑에서 “일시적으로 의료, 제약 분야로 공격 표적을 전환한 것에서 알 수 있듯이 APT43은 북한 지도부의 요구에 매우 민감하게 반응한다”면서 “APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다”고 말했다.