“북한 해커그룹 ‘APT37’ 첨단기술 보유…위협 확산”

미국 사이버 보안업체 ‘파이어아이(Fireeye)’ 가 최근 발표한 북한 해킹 보고서의 그래픽. 북한 해킹 조직 ‘APT 37’의 공격을 받은 국가와 지역으로 한국과 베트남, 일본, 중동을 붉게 표시했다.

제한적으로 활동하던 북한의 해킹 조직이 정교함과 공격성을 갖고 영역을 넓히고 있다는 내용의 보고서가 나왔습니다. 대북제재에 손발이 묶인 북한이 현금 조달을 위해 해킹 조직의 역량을 높이고 있다는 분석입니다

지난 2012년 활동을 시작해 한국 정부와 국방 시설 등에 공격을 집중했던 북한 해킹 단체, ‘APT 37’.

작년에는 베트남의 무역회사와 중동에 있는 사업체, 유엔 대북제재와 관련된 활동을 한 일본인에게로 사이버 공격을 범위를 넓힌 정황이 드러났습니다. 한국 내 탈북자 단체와 북한 인권 문제를 다룬 개인, 또 최근에는 한국에서 열리고 있는 동계올림픽 준비 상황과 관련한 정보를 빼 내려 한 시도도 포착된 것으로 알려졌습니다.

미국의 사이버 보안업체 ‘파이어아이’(Fireeye)는 이 같은 내용이 담긴 보고서를 내고 ‘APT 37’이라는 해킹 조직을 집중 조명했습니다. 앞서 해킹 단체로 추정된다며 밝힌 ‘스카트크루부트’, ‘Group123’에 이은 새로운 조직입니다.

보고서 작성에 참여한 벤자민 리드 ‘파이어아이’ 연구원은 20일 VOA와의 전화 인터뷰에서 ‘ATP37’의 주된 표적은 한국이었지만 지난해 그 범위를 베트남과 일본, 중동으로 확대했다면서 확실한 위협이 되고 있다고 진단했습니다.

[녹취:벤자민 리드 연구원]“They primarily targeted South Korea, but in 2017, their targeting has expanded include regional county such as Vietnam and Japan as well as Middle eastern entities which indicates the level of resourcing that marks them as a significant threat.”

사이버 첩보활동을 전문적으로 분석하는 리드 연구원은 보고서에서 ‘ATP 137’이 보유하고 있는 첨단 해킹 기술에 집중했습니다. 아직 사용 흔적은 찾지 못했지만 이 조직이 ‘와이퍼 말웨어’를 확실히 보유하고 있다고 말했습니다. 이는 컴퓨터 내 모든 정보를 탈취하고, 해킹 공격 흔적을 지운 후 아예 컴퓨터 자체를 사용하지 못하게 하는 악성코드입니다.

[녹취:벤자민 리드 연구원] “We haven’t seen them using it, but seen them deploying Wiper malware which has potential to sort of to wipe the all the contents in the computer”

보고서는 북한 해커가 중국과 러시아보다 훨씬 활동적이고 공격적이라는 내용도 담았습니다.

이는 국제사회의 대북 제재로 손발이 묶인 북한이 현금을 마련하기 위해 사이버 공격 역량에 열을 올리고 있기 때문으로 관측했습니다.

또 이 조직은 북한에 기반을 두고 있으며, 북한 정권의 이익에 부합하는 정보를 빼 내기 위해 전 세계 다양한 부문을 목표물로 삼고, 북한 정권을 대신해 움직인다는 강한 확신이 있다고 설명했습니다.

다만 지금은 조용히 움직이고 있지만, 결코 무시할 수 없으며 신중하게 다뤄야 하는 북한의 해커 조직으로 진단했습니다.

VOA 뉴스

北 정보탈취 전문 해킹조직 'APT37' 전모 공개

 

'APT37'로 명명된 북한의 해킹 조직이 공격의 범위와 정교함을 한층 높이고 있으며, 이제 한국 뿐 아니라 전세계를 대상으로 사이버 간첩행위 등을 시도하고 있다고 유력 사이버 보안업체가 보고서를 통해 공개했다.

 

사이버 보안업체 '파이어아이(FireEye)'는 20일(현지시간) 'APT37, 간과됐던 북한의 행위자'라는 제목의 보고서를 통해, 북한의 최근 해킹 공격을 분석한 결과 공격 범위와 정교함이 크게 높아졌다고 결론을 내렸다.

 

APT는 사이버 공격의 일종으로, 특정 목표를 겨냥해 매우 은밀하고 장기간 침투해 기밀정보를 빼내는 수법이다. 확실한 동기와 공격 목표가 있기 때문에 대부분 배후에 특정 국가의 첩보조직 등이 연계돼 있는 것으로 추정된다.

 

보고서에 따르면 북한의 APT37은 아래한글(HWP) 프로그램의 취약점과 어도비 플래시의 제로-데이(zero-day) 취약점 등을 활용해 공격 목표에 접근하며, 이메일 첨부 문서, 토렌프 파일 공유사이트 등을 통해 악성코드를 심어놓는 것으로 파악됐다.

 

그동안 APT37은 주로 한국을 공격목표로 설정해왔다. 2014년부터 지난해까지 APT37은 정부와 군대, 군수산업 기지, 언론분야 등에 대한 공격에 집중했다. 침투는 '통일대회 학술대회 심사지' 등 주로 통일과 관련된 한국어 문서파일 등을 통해 이뤄졌다.

 

또 지난해에는 APT37이 북한에 통신사업을 제공하기 위해 북한 정권과 합작한 중동의 모 회사를 공격 목표로 삼았다. 아울러 베트남 국제 무역운송 회사의 총국장, 올림픽 조직위 직원 들도 공격대상에 포함된 것으로 파악됐다.

 

이와함께 북한 인권 관련 기관과 연구자, 언론인은 물론, 일본에 있는 유엔 인권 관련 기구도 공격을 당한 것으로 나타났다.

 

APT37은 해킹 공격을 위해 실제로 한국에 존재하는 북한관련 연구단체인 '한반도 국제포럼'이나 탈북자 지원 선교단체인 '두리하나' 등에서 보낸 것으로 위장한 이메일에 악성코드를 심어 보내는 수법을 썼다고 보고서는 지적했다.

 

보고서는 APT37을 북한 정권의 사이버 간첩 조직이라고 보는 근거로 ▲IP 주소와 접속지점이 북한과 관련이 있고, ▲APT37의 악성코드가 북한시간인 UTC+8:30에 맞춰져 있으며, ▲주 공격 대상이 한국, 탈북자, 통일관련 개인과 단체들에 집중돼 있는 점 등을 들었다.

 

흥미로운 것은 APT37이 주로 사용한 악성코드의 컴파일 시각은 오전 10시부터 저녁 7시에 집중돼 있었고, 점심시간인 12시에는 컴파일 작업이 현저히 줄어드는 경향을 보였다는 점이다. 보고서는 또 악성코드 컴파일 시각이 밤 10~11시에도 상당한 것을 보면 북한 해커들이 매우 장시간 일하고 있다는 점을 보여준다고 지적했다.

 

아울러 이날 또 다른 보안업체인 '크라우드스트라이크'는 북한 해킹조직을 '미로 천리마(Labyrinth Chollima)', '침묵의 천리마(Silent Chollima)', '별똥 천리마(Stardust Chollima)' 등 3개의 하위조직으로 분류했다.

 

미로 천리마는 주로 정보탈취를 맡고 있으며, 침묵의 천리마는 소니 픽처스 영화사 해킹 등과 같은 파괴 공작, 별똥 천리마는 은행 전산망 해킹에 특화된 것으로 분석됐다.

 

앞서 미국 정부는 지난해 6월 전세계 병원과 은행, 기업 네트워크를 마비시킨 '워너크라이(WannaCry)' 공격의 배후로 북한을 지목한 바 있다.

 

한편, 미국 정부도 북한에 대한 대규모 사이버 전을 준비 중인 것으로 파악되고 있다.

 

지난 15일(현지시간) 미국의 외교 전문매체 '포린 폴리시'는 전현직 미국 정보관리 6명의 말을 인용해 미국이 지난 6개월 동안 정보자산을 총동원해 북한에 사이버 공격을 가할 기반을 은밀히 구축해왔다고 보도했다.