'김수키(Kimsuky)' 또는 '탈륨(Thallium)'이란 이름으로 활동하고 있는 북한 해킹그룹이 암호화폐를 훔쳐 자금세탁을 하는 등 사이버 범죄를 통해 북한 정권에 자금을 조달하고 있다는 분석이 나왔다.
글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 '맨디언트'의 루크 맥나마라 수석 애널리스트는 4일 화상 미디어브리핑을 통해 이같은 내용을 골자로 APT43을 분석한 보고서를 발표했다.
맨디언트는 사이버상 여러 위협 행위를 관찰하며 정보를 쌓다가 충분한 판단 근거를 내릴 수 있는 시점이 되면 특정 위협 주체로 이름 붙인다.
이번 APT43도 마찬가지다. 맨디언트가 2018년부터 추적해온 APT43은 지난해 9월 'APT42' 발표 이후 처음으로 공식 명칭을 붙인 북한 해킹 그룹이다.
보고서에는 APT43이 노리는 주요 공격 대상과 그들이 사용하는 TTP(전술·기술·절차)에 대한 분석, 캠페인과 작전 예시, 악성 소프트웨어 및 지표 등의 내용이 담겨 있다.
보고서에 따르면, APT43 활동의 우선순위는 북한의 해외·대남 정보기구인 정찰총국(RGB)의 임무와 일치하는 것으로 파악됐다. 핵 정책 관련 정보와 코로나19 연구 정보 갈취 등 활동에 집중한 정황도 포착됐다.
한국과 미국, 일본, 유럽의 정부 및 정책 연구 기관, 싱크탱크, 기업이 주요 타깃이다.
맥나마라는 "정찰총국 아래 APT43 외에도 'APT38', '템프허밋', '안다리엘' 등 해킹 그룹들이 서로 기술을 공유하며 활동 중인 것으로 파악한다"며 "국가안전보위성 산하 'APT37'은 반체제인사를 타깃으로 하는 것으로 보고 있다"고 설명했다.
맥나마라 수석 애널리스트는 "외교·국방 부분에 몸 담고 있는 개인이나 기자 등으로 신분을 속이고 도난 당한 개인 식별 정보를 활용해 다양한 산업군에서 정보를 파악해 왔다"고 전했다.
APT38은 암호화폐를 훔친 뒤 이를 새로운 암호화폐를 바꾸는 방식으로 자금을 세탁·조달하는 것으로 확인됐다.