“北해킹그룹 ‘김수키’, 암호화폐 훔쳐 김정은 정권 자금 조달”

동아일보 DB

‘김수키(Kimsuky)’ 또는 ‘탈륨(Thallium)’이란 이름으로 알려진 북한 해킹그룹이 암호화폐를 훔쳐 자금세탁을 하는 등 사이버 범죄를 통해 북한 정권에 자금을 조달하고 있다는 분석 결과가 나왔다.

구글 클라우드 자회사인 글로벌 사이버 보안 기업 ‘맨디언트’의 루크 맥나마라 수석 애널리스트는 4일 서울 용산에서 미디어 브리핑을 열고 이같은 내용을 담은 ‘북한 해킹그룹 APT43 분석 보고서’를 발표했다. APT43은 맨디언트가 지난해 9월 APT42에 이어 공식 명칭을 붙인 북한 해킹그룹이다.

보고서에 따르면 APT43의 주요 활동은 북한의 해외·대남 정보기구인 정찰총국(RGB)의 임무와 일치한다. 이들의 주요 업무는 핵 개발, 지정학적 이슈 등 북한 정권과 관련한 정보 수집으로 파악됐다. 한국과 미국, 일본, 유럽의 정부 및 정책 연구 기관, 싱크탱크, 기업이 주요 타깃이다.

맥나마라 수석 애널리스트는 “외교·국방 부분에 몸 담고 있는 개인이나 기자 등으로 신분을 속이고 도난 당한 개인 식별 정보를 활용해 다양한 산업군에서 정보를 파악해 왔다”고 설명했다.

암호화폐를 훔친 뒤 이를 새로운 암호화폐를 바꾸는 방식으로 자금을 세탁·조달한 정황도 파악됐다. 맥나마라 수석 애널리스트는 “APT43은 자금세탁 등을 통해 북한의 스파이 활동을 지원하고 다른 해킹그룹과 협력했다”고 말했다.

남혜정 기자 namduck2@donga.com