000 기자입니다 ... 알고보니 북한 정찰총국 해킹

구글 보안기업 맨디언트 분석
북한 해커조직 APT43
악성 이메일·가짜 사이트로
북핵 관련 첩보 입수 나서
국내 방산업체 주요 타겟
코인채굴서비스로 돈 세탁

‘000기자입니다. 북한이 미사일을 발사했습니다. 북한이 10월 중순 중국 공산당 대회 직후 다음 핵실험을 실시할까요?’

지난해 10월 4일 북한이 중거리탄도미사일(IRBM) 발사했을 때 위와 같은 내용의 메일이 북핵 관련 국내 당국자, 교수 및 관련 전문가에게 대거 전송됐다. 5일 내 회신달라는 요청에 많은 사람들이 이에 답했다. 하지만 실제로 메일 출처를 살펴보니 북한 해커조직 김수키(Kimsuky)가 보낸 것이었다. 기자를 사칭한 메일을 통해 남한 전문가 그룹이 어떻게 북한 미사일을 바라보고 있는지를 수집한 것이다.

글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트의 루크 맥나마라 수석분석가는 4일 화상 미디어브리핑을 통해 이 같은 내용을 골자로 APT43(해커조직 김수키를 부르는 공식명칭)을 분석한 보고서를 발표했다. APT43은 북한 정찰총국 산하에 있는 해커조직으로 북핵 관련 첩보를 수집하는 것을 1순위로 하는 해커조직이다. 첩보수집뿐만 아니라 해킹을 통한 금품 탈취(가상화폐 탈취)도 하고 있어서 미국과 한국 당국이 가장 예의주시하는 해커 집단이다.

APT43의 해킹 수법은 ▲특정 대상에 멀웨어가 첨부된 악성 이메일을 보내는 ‘스피어피싱’과 ▲가짜 사이트를 통해 회원가입을 유도하며 사람들의 인증정보를 수집하는 ‘크리덴셜’ 공격 기법이 있다. 특히 스피어피싱의 경우 이메일에 멀웨어를 첨부하지 않고 앞서 밝힌 ‘기자 사칭’과 같이 정상 이메일을 보내기도 한다. 맥나마라 분석가는 “북한 해커가 보낸 이메일에 정책 관련자는 거리낌없이 답변을 했다”며 “해당 답변을 받은 사람은 결국 북한의 정찰총국이었던 셈”이라고 말했다.

APT43은 북핵 첩보를 담당하는 해커조직인만큼 미국과 한국 기관을 대상으로 한 해커를 주로 수행했다.

특히 한국의 경우는 제조업이 주요 타겟이다.

맥나마라 분석가는 “제조업과 관련돼서는 주로 국방과 관련된 방위사업체, 핵무기 개발과 장착에 필요한 부품을 생산하는 제조업체가 해킹 대상이었다”며 “아울러 국제사회 제재로 인해 북한에 수출금지된 품목과 관련된 제조업체도 대상이었다”고 밝혔다. 이밖에도 코로나 시기때 APT43이 백신 관련해 국내 제약업체에 대한 해킹을 일시적으로 늘렸던 것도 특이사항이었다고 덧붙였다.

APT43의 해킹이 주로 첩보이지만 가상화폐를 탈취한 뒤 ‘돈 세탁’을 하는 경우도 많았다.

맨디언트에 따르면 APT43은 해시 렌탈, 클라우드 마이닝 서비스 등을 이용해 자금 추적을 어렵게 만들었다. 예를 들어, 클라우드 마이닝 서비스에 비트코인이나 이더리움으로 돈을 지불하고 코인을 채굴한다. 새로 채굴한 코인은 새로운 월렛으로 들어와 누구의 것인지 추적하기 어려워진다. 이러한 방식으로 공격자들이 탈취한 자금을 새로운 자금으로 바꿔 추적을 회피한다는 설명이다. 맥나마라 분석가는 “이 과정에서 일부 중국인과 말레이시아인이 돈 세탁을 도와주고 있는 정황이 파악됐다”며 “다만 미국 정부가 기소한 내용을 살펴보면 중국 정부와의 연관성은 밝혀지지 않았다”고 말했다.