北 해킹그룹 `킴수키` 갈수록 韓 보안위협

팽동현 2023. 4. 4. 17:36
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
맨디언트, 北 해킹그룹 조직 공개
암호화폐 탈취·언론인 사칭까지
해시 렌탈 거쳐 새 암호화폐 생성

북한 해킹조직이 갈수록 활개를 치고 있다. 지난해 UN(국제연합) 추산 10억달러(1조3000억원) 규모 암호화폐를 탈취한 데 이어 최근 들어서는 언론인 등을 사칭하며 첩보활동도 펼치고 있다.

4일 구글클라우드 자회사인 사이버보안 기업 맨디언트에 따르면, 최근 북한 해킹그룹이 자국 핵개발 프로그램에 필요한 대외 정보수집 목적의 사이버활동을 펼친 사실이 적발됐다. 맨디언트가 'APT43'이라 분류한 이 해킹그룹은 '킴수키(Kimsuky)'라는 이름으로 널리 알려졌으며 '탈륨', '벨벳', '천리마' 등으로도 불린다.

◇조직적인 사이버공격…자금추적도 어려워= '킴수키' 해킹그룹은 최근 미국 언론사 소속으로 위장해 미국과 한국의 공직자 및 전문가를 대상으로 첩보 활동을 펼쳤다. 미국의소리(VOA) 소속 기자로 속여 핵 안보 정책과 무기 확산 등에 대해 문의했다. 뉴욕타임스 채용 담당자를 사칭한 메일도 보낸 것으로 드러났다.

이미 수년간 악성메일을 통한 스피어피싱 공격을 즐겨 써온 그들이지만, 이번에는 상당수가 속아서 논문 수준의 답변을 제공한 전문가도 있는 것으로 알려졌다. 기존 공격수법을 경험한 이들이 속은 이유는 악성파일이 첨부되지 않은 '깨끗한' 메일이었기 때문이다. 이전에도 두세 차례 메일을 주고받은 뒤 악성파일을 전송하는 등 사회공학적 기법을 쓴 사례가 있지만, 이번에는 북한 핵개발 상황에 대한 주요 국 관계자 정보수집에만 주력한 것으로 보인다.

맨디언트는 이와 관련해 북한 해킹그룹들 사이에서 조직적인 역할 분담이 이뤄지는 것으로 분석했다. 인민군 총참모부 산하 정찰총국에는 APT43(킴수키), APT38(라자루스), 템프허밋, 안다리엘 등 4개 해킹그룹이 연계된 것으로 파악됐다. 이 중 APT43은 핵개발 관련 첩보나 코로나19 백신·치료제 관련 해킹 등 북한 정부와 밀접하게 연관된 활동을, APT38은 암호화폐 탈취를 통해 핵개발 등을 위한 자금조달 활동을 주로 벌인 것으로 나타났다. 이밖에 국가안전보위성에 반체제 인사를 색출하는 APT37이라는 해킹그룹도 별도로 존재한다. 주로 APT38이 자금조달을 맡지만 APT43 등 다른 조직들도 활동비 마련을 위해 개인 대상 스피어피싱이나 인증정보 탈취 등 공격을 한다. 이들이 자금세탁에 동원하는 방식도 특징적이다. 사이버공격으로 탈취한 암호화폐를 해시 렌탈 및 클라우드 마이닝 서비스를 거쳐 새로운 암호화폐로 바꿔 추적을 어렵게 한다. 훔친 암호화폐로 채굴 장비를 빌려 새 암호화폐를 캐고 새 지갑에 담아가기 때문이다. 사전에 추적당할 위험이 있을 경우 중국 해킹그룹 등의 도움도 받는 것으로 알려졌다.

◇갈수록 정교화·다변화하는 수법= 최근 안랩도 킴수키의 지난해 활동에 대해 보고서를 낸 바 있다. 보고서에 따르면 킴수키의 스피어피싱 공격은 표적인 조직이나 개인과 연관성이 높은 주제로 작성되는 등 더욱 정교화되고 있다. 대상에 대한 사전조사 등을 치밀하게 하는 것으로 추정된다.

공격에 활용하는 악성코드 종류도 다변화했다. 이들은 2020년경부터 키로깅 악성코드 '플라워파워(FlowerPower)'나 백도어 악성코드 '애플시드' 등 특정 악성코드를 주로 사용하는 것으로 알려졌다. 하지만 안랩의 분석 결과, 웹브라우저 내 각종 정보를 유출하는 '인포스틸러', 원격제어 악성코드 'RAT(원격관리도구)'도 발견됐다.

앞서 국가정보원과 KISA(한국인터넷진흥원) 등은 북한 해킹그룹이 금융보안인증 프로그램(이니세이프 크로스웹EX V3 3.3.2.40 이하 버전)의 보안취약점을 악용해 국내외 주요기관 60여곳의 PC 210여대를 해킹한 사실을 적발한 바 있다. 해당 SW(소프트웨어) 기업과 함께 보안패치를 제작, 특히 이 인증프로그램을 적용해 서비스 중인 기업·기관 대상으로 보안패치를 긴급히 적용했다. 전문가들이 권하는 대응방법도 변함이 없다. 출처가 불분명한 파일을 다운로드받거나 URL을 클릭하지 말고, 정품SW를 사용하고 불법적인 콘텐츠를 멀리하는 것 등이다. 하지만 첩보 목적으로 접근하는 경우 발신자를 보다 주의 깊게 확인하는 것 외에는 뾰족한 수가 없어 보인다. 맨디언트는 공직자·언론인과 북한 관계자·전문가 등의 보다 세심한 사용자 주의를 권했다.

루크 맥나마라 맨디언트 수석애널리스트는 "북한 정찰총국 연계 해킹그룹들의 첩보활동과 암호화폐 절취를 위한 사이버공격이 앞으로 더 기승을 부릴 전망이다. 미사일을 쏠수록 첩보활동도 많아지고 사이버공격으로 조달한 자금은 핵개발 진척에 쓰일 것"이라며 "북한이 핵개발을 멈추지 않는 한 이런 활동은 계속 확대될 것인 만큼 이에 대응하는 공조와 협력이 요구된다"고 밝혔다.팽동현기자 dhp@dt.co.kr

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.