사회공학 기법·암호화폐 탈취와 세탁 능해…국가·기업 공조로 북한 위협 대응해야
[데이터넷] 안보 전문가 A씨는 한 언론사 기자로부터 그 날 아침 북한의 미사일 발사 배경과 국가 안보에 미치는 영향에 대한 의견을 묻는 메일을 받았다. 통일문제 전문가인 B씨는 같은 주제의 내용으로 논문 작성을 의뢰받았으며, 외교 전문가 C씨는 이 주제로 작성된 다른 사람의 논문에 대한 의견을 묻는 이메일을 받았다. 그런데 이들에게 메일을 보낸 사람은 언론사 기자가 아니라 북한의 해커였다. 북한은 북한의 미사일 도발에 대한 우리나라 통일, 외교, 안보 전문가들의 의견을 분석해 다음 전략에 참고할 수 있도로 사이버 스파이 활동을 하고 있는 것이다.
루크 맥나마라(Luke McNamara) 맨디언트 수석 애널리스트는 “북한 해커들은 멀웨어 없이도 사이버 스파이 활동을 성공적으로 수행하고 있다. 기자나 관련 분야 전문 학회 혹은 연구원으로 사칭해 핵 전문가, 외교·안보·국방 전문가의 의견을 수렴하고 있다. 북한은 이러한 사회공학 기법 공격에 매우 능숙하다”고 말했다.
맥나마라 수석은 최근 맨디언트가 발표한 ‘북한 공격 그룹 APT43 보고서’의 주요 내용을 설명하면서 APT43이 정보를 수집하는 방법을 소개했다. 킴수키라고도 불리는 APT43은 정보수집 활동을 주로 하고 있으며, 제로데이 취약점이나 멀웨어를 사용하기보다 사회공학 기법을 이용한 스피어피싱으로 목표에 접근한다.
킴수키는 2014년 한국수력원자력 해킹의 주범으로 알려져있으며, 주로 북한의 핵무장과 관련한 정보수집, 무기 개발 자금조달을 위한 암호화폐 해킹 등의 활동을 하는 것으로 분석된다.
APT43은 한국, 미국, 일본, 유럽 등의 정부기관과 교육·연구·싱크탱크, 상업 서비스, 제조업 등을 노리며, 국제협상이나 제재정책, 북한이 핵 개발에 영향을 미칠 수 있는 다른 나라의 외교·정치 관련 정보를 수집한다.
더불어 자격증명 수집을 위한 공격활동도 전개하고 있는데, 언론사나 적법한 웹사이트의 로그인 페이지로 위장한 피싱 사이트를 운영한다. 코로나19 기간동안에는 제약·바이오 산업을 공격해 백신과 치료법 연구 등의 정보를 탈취했다.
다양한 자금세탁 서비스 이용하며 범죄 추적 방해
이들은 암호화폐 및 암호화폐 관련 서비스를 타깃으로 공격하며, 북한 정권을 위한 자금을 조달하는 임무를 수행하고 있다. 이들은 거래소나 개인으로부터 암호화폐를 탈취한 후 자금세탁 서비스를 이용하는 정황도 발견됐다.
클라우드 마이닝 서비스를 지불하는 방법으로 자금을 세탁하기도 하는데, 카지노에서 현금을 칩으로 바꾸었다가 칩을 다시 현금으로 바꾸는 방법으로 자금추적을 차단하는 것과 같은 방법이다. 또 이들의 자금세탁을 돕는 조력자 중에는 중국의 공격그룹도 있는 것으로 보이며, 미국의 몇 몇 암호화폐 채굴 서비스를 이용해 자금을 세탁하는 정황도 발견되기도 했다.
북한의 공격그룹 중 가장 유명한 라자루스는 금융기업이나 암호화폐 거래소를 해킹해 정치자금을 조달하는 역할을 하며, 안다리엘은 자체 개발한 랜섬웨어를 이용해 수익을 얻기도 한다. 이렇게 불법적으로 획득한 대금으로 핵무장을 하는 북한을 제재하기 위해 자금세탁에 이용되는 암호화폐 거래소를 제재해 범죄수익을 현금화하지 못하도록 막고 있으며, 상당한 규모의 범죄자금이 현금화되지 못한 채 묶여있는 것으로 알려진다.
그럼에도 불구하고 북한이 계속해서 핵과 미사일 위협을 벌일 수 있는 배경에 대해 맥나마라 수석은 “북한은 오랫동안 사이버 위협 활동을 하면서 수익을 걷어들이고 있다. 이들은 암호화폐 초기부터 랜섬웨어와 채굴, 암호화폐 해킹 등으로 수입을 얻었으며, 암호화폐 생태계를 영리하게 이용하고 있다”고 말했다.
그는 “북한의 위협 행위를 차단하기 위해서는 한국을 포함한 각국 정부, 수사기관, 보안기업들이 공조해야 한다. 맨디언트는 이러한 공조 노력에 적극 참여하고 있으며, 위협 행위자의 공격 전술과 전략, 공격도구를 분석하는 보고서를 공개하면서 기업과 기관의 위협 대응 전략을 수립하는데 도움을 주고 잇다”고 밝혔다.
