북한 해커조직 APT45, 금전적 이익 노린 공격 확대 추세
[보안뉴스 김경애 기자] 활동 초기 주로 정찰에 집중했던 북한 해커조직 APT45가 점차 금전적 이익을 위한 공격을 늘려가는 것으로 분석됐다. 특히 APT45는 중요 인프라를 가장 많이 노린 것으로 관찰됐으며, 다양한 해킹 기술 사용, 맞춤형 악성코드로 보안 시스템을 우회하는 특징이 있다. 이에 따라 공격 피해를 입지 않도록 이용자들의 각별한 주의가 요구된다.
[이미지=맨디언트]
맨디언트(Mandiant)는 “APT45는 북한의 또 다른 사이버 조직인 TEMP.Hermit와 APT43과는 다른 악성코드 계보”라며 “APT45는 북한 정부의 지원을 받는 중간 수준의 정교함을 갖춘 사이버 공격 조직이다. 2009년 이후 북한 정부의 정치적 이해관계에 따라 다양한 사이버 공격을 수행했다”고 밝혔다.
초기에는 정부기관과 방위산업을 대상으로 한 스파이 활동에 집중했지만, 이후 금융 분야를 노리는 등 금전적 이익 추가로 공격을 확장했다. 또한, 랜섬웨어 개발에도 관여한 것으로 보인다.
코로나19 초기 여러 북한 연계 조직들이 의료와 제약 분야를 노렸다. APT45는 다른 조직들보다 이 분야에 대한 공격을 더 오래 이어갔는데, 관련 정보 수집 임무를 계속한 것으로 보인다. 또한, APT45는 핵 관련 기관을 공격해 북한 정부의 정책 목표 달성을 지원하는 역할도 해왔다.
목표 변화와 작전 대상 확장
다른 북한 연계 공격 그룹과 마찬가지로 APT45는 북한 정부의 정책 변화에 맞춰 활동 방향을 바꿔 왔다. 공개된 악성코드 샘플 분석에 따르면 이 공격 그룹은 2009년부터 활동했다.
2017년부터는 정부 기관과 방위 산업에 집중, 2019년에는 핵 관련 분야를 노렸는데, 이는 북한 정부의 핵 문제와 에너지에 대한 관심과 일치한다. 또한, 공격 그룹은 재정적인 목적의 공격도 감행했다.
특히 공격 그룹은 랜섬웨어에 관심이 크다는 점에서 다른 북한 공격자와 차별되고 있다. APT45의 활동 영역 확장을 쭉 따라가다 보면 북한 정부의 경제난과 기술력 부족을 극복하고 군사적 목표를 달성하려는 북한 정부의 의도가 담겨 있다.
중요 인프라
2019년 APT45는 인도의 쿠단쿨람 원자력 발전소 같은 핵 연구 시설과 원자력 발전소를 직접 노렸다. 이는 북한이 주도한 사이버 작전이 중요 인프라를 목표로 삼은 몇 안 되는 사례 중 하나로 꼽힌다.
내부 문제 해결을 위한 기술 탈취
한편, 북한은 북한 산업 발전의 어려움을 극복하기 위해 기술 탈취에도 적극적으로 나서고 있다. 2019년 9월 APT45는 다국적 기업의 농업 과학 부서를 목표로 잡았다. 이는 코로나19로 인한 국경 봉쇄로 악화된 북한의 농업 생산 문제 해결을 위한 것으로 보인다. 첨단 농업 관련 기술 관련 정보를 손에 넣어 식량 문제를 해결하고자 한 것으로 추정된다.
APT45 외에도 북한이 지원하는 여러 공격 그룹이 코로나19 시기에 의료 및 제약 분야에 집중했다. 이는 코로나19 치료제, 백신, 의료 기술 확보를 위한 것으로 보이며, 2023년까지도 이 분야에 대한 관심이 이어지고 있다.
랜섬웨어 활용
맨디언트는 “APT45로 추정하지만 확인할 수 없는 몇 가지 활동을 특정 위협 행위자 집단으로 묶어 추적 중”이라며 “추적 중인 위협 행위자는 랜섬웨어를 사용해 작전 자금을 조달하거나 정권을 위한 수익 창출에 나섰을 것”이라며 “APT45가 랜섬웨어를 사용했는지 확인할 수 없지만, 이들은 다양한 방식으로 자금을 모았다”고 분석했다.
2022년 미국 사이버 보안 및 인프라 보안국(CISA)은 북한 정부가 후원하는 공격 그룹이 의료 및 공공 보건 부문을 목표로 MAUI 랜섬웨어를 사용했다고 보고했다.
2021년 카스퍼스키는 맨디언트가 SHATTEREDGLASS로 추적한 랜섬웨어를 확인했고, 이는 APT45로 의심되는 위협 행위지 집단에서 사용한 것으로 보인다고 분석했다
▲APT45가 노린 국가들과 산업[이미지=맨디언트]
악성코드
APT45는 3PROXY 같은 공개적으로 이용할 수 있는 도구, ROGUEEY 같이 공개된 것을 수정한 악성코드, 그리고 독자적으로 개발한 맞춤형 악성코드를 사용한다. APT45의 악성코드는 다른 북한의 공격 그룹과 차별화된 특징이 있다. 코드 재사용, 독특한 인코딩 방식, 고유한 패스워드 등이 그 예다.
▲악성 코드 중복[이미지=맨디언트]
다른 작전과의 연관성
맨디언트는 APT45가 북한 정부의 지원을 받아 사이버 공격을 수행하는 조직으로 보고 있다. 또한, APT45가 북한 정찰총국(RGB) 조직 가능성에도 주목하고 있다. APT45의 공격 활동은 ‘Andariel’, ‘Onyx Sleet’, ‘Stonefly’, ‘Silent Chollima’라는 이름으로 공개된 바 있으며 ‘Lazarus Group’과 연관돼 있다.
▲2024년 북한 사이버 작전의 구조[이미지=맨디언트]
전망
APT45는 북한에서 가장 오래 활동해 온 공격 조직 중 하나다. 이 공격 그룹의 활동은 북한 정권의 지정학적 우선순위를 반영한다. 초기에는 정부기관과 방위산업을 대상으로 사이버 스파이 활동을 했으나, 이후 의료와 농업 분야로 활동 범위를 넓혔다.
북한의 사이버 공격은 정보 수집과 동시에 금전적 이익 추구가 특징이다. APT45도 이런 경향을 따르는 것으로 예상한다. 북한이 사이버 공격을 국가의 주요 역량으로 활용함에 따라 APT45를 비롯한 북한의 사이버 공격 그룹은 북한 지도부의 변화하는 정책 우선순위에 따라 활동할 것으로 예상된다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 활동 초기 주로 정찰에 집중했던 북한 해커조직 APT45가 점차 금전적 이익을 위한 공격을 늘려가는 것으로 분석됐다. 특히 APT45는 중요 인프라를 가장 많이 노린 것으로 관찰됐으며, 다양한 해킹 기술 사용, 맞춤형 악성코드로 보안 시스템을 우회하는 특징이 있다. 이에 따라 공격 피해를 입지 않도록 이용자들의 각별한 주의가 요구된다.
[이미지=맨디언트]
맨디언트(Mandiant)는 “APT45는 북한의 또 다른 사이버 조직인 TEMP.Hermit와 APT43과는 다른 악성코드 계보”라며 “APT45는 북한 정부의 지원을 받는 중간 수준의 정교함을 갖춘 사이버 공격 조직이다. 2009년 이후 북한 정부의 정치적 이해관계에 따라 다양한 사이버 공격을 수행했다”고 밝혔다.
초기에는 정부기관과 방위산업을 대상으로 한 스파이 활동에 집중했지만, 이후 금융 분야를 노리는 등 금전적 이익 추가로 공격을 확장했다. 또한, 랜섬웨어 개발에도 관여한 것으로 보인다.
코로나19 초기 여러 북한 연계 조직들이 의료와 제약 분야를 노렸다. APT45는 다른 조직들보다 이 분야에 대한 공격을 더 오래 이어갔는데, 관련 정보 수집 임무를 계속한 것으로 보인다. 또한, APT45는 핵 관련 기관을 공격해 북한 정부의 정책 목표 달성을 지원하는 역할도 해왔다.
목표 변화와 작전 대상 확장
다른 북한 연계 공격 그룹과 마찬가지로 APT45는 북한 정부의 정책 변화에 맞춰 활동 방향을 바꿔 왔다. 공개된 악성코드 샘플 분석에 따르면 이 공격 그룹은 2009년부터 활동했다.
2017년부터는 정부 기관과 방위 산업에 집중, 2019년에는 핵 관련 분야를 노렸는데, 이는 북한 정부의 핵 문제와 에너지에 대한 관심과 일치한다. 또한, 공격 그룹은 재정적인 목적의 공격도 감행했다.
특히 공격 그룹은 랜섬웨어에 관심이 크다는 점에서 다른 북한 공격자와 차별되고 있다. APT45의 활동 영역 확장을 쭉 따라가다 보면 북한 정부의 경제난과 기술력 부족을 극복하고 군사적 목표를 달성하려는 북한 정부의 의도가 담겨 있다.
중요 인프라
2019년 APT45는 인도의 쿠단쿨람 원자력 발전소 같은 핵 연구 시설과 원자력 발전소를 직접 노렸다. 이는 북한이 주도한 사이버 작전이 중요 인프라를 목표로 삼은 몇 안 되는 사례 중 하나로 꼽힌다.
내부 문제 해결을 위한 기술 탈취
한편, 북한은 북한 산업 발전의 어려움을 극복하기 위해 기술 탈취에도 적극적으로 나서고 있다. 2019년 9월 APT45는 다국적 기업의 농업 과학 부서를 목표로 잡았다. 이는 코로나19로 인한 국경 봉쇄로 악화된 북한의 농업 생산 문제 해결을 위한 것으로 보인다. 첨단 농업 관련 기술 관련 정보를 손에 넣어 식량 문제를 해결하고자 한 것으로 추정된다.
APT45 외에도 북한이 지원하는 여러 공격 그룹이 코로나19 시기에 의료 및 제약 분야에 집중했다. 이는 코로나19 치료제, 백신, 의료 기술 확보를 위한 것으로 보이며, 2023년까지도 이 분야에 대한 관심이 이어지고 있다.
랜섬웨어 활용
맨디언트는 “APT45로 추정하지만 확인할 수 없는 몇 가지 활동을 특정 위협 행위자 집단으로 묶어 추적 중”이라며 “추적 중인 위협 행위자는 랜섬웨어를 사용해 작전 자금을 조달하거나 정권을 위한 수익 창출에 나섰을 것”이라며 “APT45가 랜섬웨어를 사용했는지 확인할 수 없지만, 이들은 다양한 방식으로 자금을 모았다”고 분석했다.
2022년 미국 사이버 보안 및 인프라 보안국(CISA)은 북한 정부가 후원하는 공격 그룹이 의료 및 공공 보건 부문을 목표로 MAUI 랜섬웨어를 사용했다고 보고했다.
2021년 카스퍼스키는 맨디언트가 SHATTEREDGLASS로 추적한 랜섬웨어를 확인했고, 이는 APT45로 의심되는 위협 행위지 집단에서 사용한 것으로 보인다고 분석했다
▲APT45가 노린 국가들과 산업[이미지=맨디언트]
악성코드
APT45는 3PROXY 같은 공개적으로 이용할 수 있는 도구, ROGUEEY 같이 공개된 것을 수정한 악성코드, 그리고 독자적으로 개발한 맞춤형 악성코드를 사용한다. APT45의 악성코드는 다른 북한의 공격 그룹과 차별화된 특징이 있다. 코드 재사용, 독특한 인코딩 방식, 고유한 패스워드 등이 그 예다.
▲악성 코드 중복[이미지=맨디언트]
다른 작전과의 연관성
맨디언트는 APT45가 북한 정부의 지원을 받아 사이버 공격을 수행하는 조직으로 보고 있다. 또한, APT45가 북한 정찰총국(RGB) 조직 가능성에도 주목하고 있다. APT45의 공격 활동은 ‘Andariel’, ‘Onyx Sleet’, ‘Stonefly’, ‘Silent Chollima’라는 이름으로 공개된 바 있으며 ‘Lazarus Group’과 연관돼 있다.
▲2024년 북한 사이버 작전의 구조[이미지=맨디언트]
전망
APT45는 북한에서 가장 오래 활동해 온 공격 조직 중 하나다. 이 공격 그룹의 활동은 북한 정권의 지정학적 우선순위를 반영한다. 초기에는 정부기관과 방위산업을 대상으로 사이버 스파이 활동을 했으나, 이후 의료와 농업 분야로 활동 범위를 넓혔다.
북한의 사이버 공격은 정보 수집과 동시에 금전적 이익 추구가 특징이다. APT45도 이런 경향을 따르는 것으로 예상한다. 북한이 사이버 공격을 국가의 주요 역량으로 활용함에 따라 APT45를 비롯한 북한의 사이버 공격 그룹은 북한 지도부의 변화하는 정책 우선순위에 따라 활동할 것으로 예상된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
