김수키·APT37·라자루스, 정보 탈취와 외화벌이에 집중
[보안뉴스 김경애 기자] 북한의 사이버 공격이 기승을 부리고 있는 것으로 드러났다. 특히 김수키가 가장 활발한 활동을 보인 것으로 나타났다. 김수키의 공격 횟수는 100건 이상을 차지했으며, 이는 전체 북한의 사이버 공격 중 37%에 해당한다. 이어서는 라자루스, APT37, 기타, APT38, 안다리엘 순으로 집계됐다. 가장 활동량이 적게 집계된 안다리엘의 경우 활동량만 적었을 뿐 사이버 공격에 따른 영향력은 큰 것으로 알려졌다. 특히 금융기관, 암호화폐 거래소 공격을 통해 피해를 입히고 있는 만큼 파급력이 크다는 얘기다.
▲레코디드 퓨쳐의 밋치 해저드(Mitch Haszard, 한국이름: 박태현) 위협 인텔리전스 수석연구원[사진=보안뉴스]
AI 인텔리전스 보안 기업 레코디드 퓨처에 따르면 북한 해커 조직의 공격 목적은 대부분 정보탈취와 외화벌이에 집중돼 있으며, 이는 김수키, APT37, 라자루스 등의 공격에 의한 것으로 집계됐다. 주로 아시아와 북아메리카의 정부기관 등을 주 타깃으로 하고 있으며, 암호화폐, 미디어산업, 금융, 방위산업 등의 순으로 피해를 입은 것으로 나타났다.
특히, 최근 발견된 퍼플알파 등 조직의 활동이 북한 사이버 전략과 연관돼 있는 것으로 조사됐다. 퍼플알파(PurpleAlpha) 조직의 경우 △김수키와의 공통점 △아시아와 유럽 정보 유출 목적 △가끔 외화벌이 목적 △IT 도구로의 위장 등의 특징을 나타내고 있다.
TAG-66조직은 △김수키와의 공통점 △아시아 정보 유출 목적 △가끔 외화벌이 목적 △주로 피싱 공격 △악성 안드로이드 앱 등과 관련이 있다.
TAG-71 조직은 △Cryptocore·TA444와의 공통점 △아시아와 미국 외화벌이 목적 △가상화폐, 벤처캐피탈(VC) 공격 △MacOS 또한 Windows 멀웨어를 활용하고 있다.
TAG-72는 △APT37과의 공통점 △아시아 정보 유출 목적 △동적 DNS(DDNS) C&C △워터링 홀 공격 등의 특징을 지닌 것으로 분석됐다.
이와 관련 레코디드 퓨처가 ‘AI 인텔리전스를 활용한 사이버 위협대응 전략’을 주제로 기자간담회를 4일 JW 메리어트 호텔에서 개최한 가운데, <보안뉴스>는 레코디드 퓨처 밋치 해저드(Mitch Haszard, 한국이름: 박태현) 위협 인텔리전스 수석연구원과의 인터뷰를 통해 ‘최근 북한 사이버위협 공격그룹 동향’에 대해 들어봤다.
Q. 지난해 7월에 <보안뉴스>와 인터뷰를 했었는데 기억하고 있는지. 그동안 어떻게 지냈나?
작년에 보안뉴스와 북한 해커 조직에 대해 인터뷰한 건 기억하고 있다. 물론 자세한 내용을 전부 기억하지는 못한다. 지금도 북한 해커 조직의 인프라 공격 연구, 멀웨어 탐지 및 분석 등의 업무를 하며 지내고 있다. 다만 개인적으로 박사 학위와 일을 병행하다 보니 정신없이 바빴다.
Q. 이번에 한국에 방문한 이유는 무엇인가?
올해는 기자간담회 외에도 고객과의 미팅, 컨퍼런스 개최 및 발표가 있고, 다음 주는 일본에서 웨비나를 열고, 일본 고객과의 미팅이 예정돼 있다.
Q. 레코디드 퓨처가 한국, 일본 등 아시아에 집중하는 이유는 무엇인가?
연구 관점에서 볼 때 동아시아에는 많은 위협 활동이 탐지되고 있다. 현재 북한에 초점을 맞추고 있지만 중국 배후의 위협 그룹도 함께 추적하고 있다. 러시아, 중국, 북한, 이란 등 4대 국가 중 중국이 가장 활발하게 활동하고 있기 때문이다. 비즈니스 관점에서도 이러한 위협으로부터 방어할 수 있도록 도움을 주는 게 우리에게는 매우 중요하다.
Q. 올해 사이버 공격 위협 및 이슈는 무엇인가?
올해는 한국 중심으로 북한 뿐만 아니라 중국 배후의 위협이 기승을 부렸다. 주로 한국 기관이 타깃이다. 북한발 공격과 중국발 공격의 차이점을 말하자면 북한은 주로 네이버, 카카오를 사칭한 피싱으로 시작한다면 중국은 제로데이 취약점 공격 등 고도화된 공격 성향을 많이 보이고 있다.
Q. 레코디드 퓨처가 분석한 북한 해커 조직의 공격 특징은 무엇인가?
레코디드 퓨처는 네트워크 인텔리전스 기반으로 분석하고 있다. 이를테면 퍼플알파의 경우 스캐닝 과정에서 시스템에서 과거 공격자가 만들었던 흔적을 바탕으로 역추적하고 등록 웹사이트를 만든다. 대부분 피싱 공격을 통해 계정 정보를 탈취하고, 시스템에 공격자가 접근하는 식으로 공격이 이뤄진다.
Q. 최근 북한 해커 조직의 해킹 기술은 과거에 비해 어떤가?
예전에는 프로그래밍 언어로 멀웨어를 개발했으나, 요즘에는 많이 이용하거나 유행하는 프로그램 언어인 go, rust를 활용해 백도어와 멀웨어를 제작한다. 최근에는 북한 해커 조직이 기업의 코드 서명 인증서를 도용하고, 자체 제작한 멀웨어를 사용하는 것을 포착한 바 있다. 해당 멀웨어를 피해자의 컴퓨터에서 유포할 경우 백신에서 탐지하기가 쉽지 않다.
Q. 북한 해커 조직의 이름이나 구분 기준이 보안 회사별로 다르다. 어떤가?
보안 회사마다 공격 수법에 따라 김수키로 보기도 하고 아니라고 발언하는 보안 기업도 있다. 최근에는 새로운 활동이 포착되면 새 이름을 지어 구분한다.
Q. 레코디드 퓨처가 분석한 북한발 해커 조직의 규모는 어떤가?
가장 최근 공개된 데이터로는 북한발 해커 그룹 규모는 5,000~6,000여명 정도로 파악하고 있다.
Q. 북한 해커 조직이 IT 구직을 통해 외화벌이를 많이 하고 있는 것으로 알려져 있는데.
레코디드 퓨처가 IT 근로자를 직접 추적하기 보다는 위협행위자를 찾는데 중점을 두고 있다. 하지만 최근 기사로는 북한 서버를 접근했더니 미국 회사가 제작한 애니메이션 파일이 많이 있었다고 보도된 바 있으며, 미국 회사에 취업한 것으로 알려져 있다. 특히 IT 구직 근로자 규모가 수천명에 이르는 것으로 예측되고 있다.
Q. 레코디드 퓨처는 한국 및 미국 기관과 어떤 방식으로 협업하나?
현재 미국의 다양한 법집행기관과 협력하고 있다. 기관은 모든 정보를 보유하고 있지 않기 때문에 민간 최대 인텔리전스 기업이 보유한 정보가 필요하다. 따라서 정부기관이 보유한 데이터와 레코디드 퓨처가 파트너십을 통해 확보한 정보를 서로 공유 및 분석하며 협업 활동을 하고 있다.
Q. 북한 해커 조직도 AI를 활용해 공격하나?
북한 해커 조직은 직접 SW를 개발하는 역량 능력이 있어 AI 활용이 필요하지 않을 수도 있다. 또한, AI를 활용한다 해도 놀랄 일은 아니다.
Q. 앞으로 계획은?
만 나이로 35살인데, 주한미군으로 4년을 근무하고 방위산업 및 국방 관련 분야에 15년 동안 근무했다. 오롯이 북한에만 집중해 연구한 기간만 8년이다. 북한의 사이버 공격 유입량이 너무 많아 힘들때 도 있지만 북한의 사이버 공격 연구는 앞으로도 지속할 계획이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>