北해킹 그룹 김수키, 韓·美·日 암호화폐 훔쳐 김정은 돈줄 댔다

암호화폐 훔쳐 자금 세탁…핵 정책, 코로나19 관련 내용도 갈취 정황

북한 해킹그룹이 암호화폐를 훔쳐 북한 정권

김수키(Kimsuky) 또는 탈륨(Thalium)으로 알려진 북한 해킹그룹 APT43이 사이버 범죄를 통해 북한 정권에 자금을 조달하고 있는 것으로 확인됐다. 특히 암호화폐를 훔쳐 자금을 세탁했고 이를 통해 사이버 위협 활동을 늘려갔다.

글로벌 사이버 보안 기업 '맨디언트'는 4일 '북한 해킹그룹 APT43 분석 보고서'를 발표했다. APT 43이란 지능형 지속 위협을 의미하는 APT에 43번째 분류코드를 달아 만든 이름이다. 맨디언트가 지난해 9월 APT42에 이어 공식 명칭을 붙인 북한 해킹그룹이다.

보고서에 따르면 APT43 주요 활동은 북한의 해외·대남 정보기구인 정찰총국(RGB) 임무와 일치한다. APT43의 표적은 한국을 비롯해 미국와 일본, 유럽 등에 집중됐다. 이들 지역에 있는 정부와 정책 연구기관, 기업 등이 주요 타깃이었다. 이들의 주요 업무는 핵 개발, 지정학적 이슈 등 북한 정권과 관련한 정보 수집으로 파악됐다. 또 코로나19(COVID-19) 연구 정보 갈취 등의 정황도 포착됐다.

이 해킹그룹은 데이터 위·변조를 수시로 했다. 외교나 국방 부문에 있는 개인으로 가장하고 훔친 개인 정보로 계정을 만들고 위장 신분을 만들기도 했다.

특히 APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(Hash)를 임대하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매하는 식이다. 이는 암호화폐 해커들이 전형적으로 사용하는 방식이다. 또 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채굴했다.

루크 맥나마라 맨디어트 수석 애널리스트는 "APT43은 다른 북한의 스파이 조직과 협력해왔다"며 "이를 통해 APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다"고 설명했다.

김인한 기자 science.inhan@mt.co.kr