맨디언트, 사이버 범죄로 자금 조달하는 북한 공격 그룹 'APT43' 보고서 발간
상태바
맨디언트, 사이버 범죄로 자금 조달하는 북한 공격 그룹 'APT43' 보고서 발간
  • 석주원 기자
  • 승인 2023.04.04 17:06
  • 댓글 0
이 기사를 공유합니다

맨디언트가 미디어 브리핑을 통해 북한의 공격 그룹 APT43을 분석한 보고서를 발표했다. APT43은 사이버 범죄를 통해 북한 첩보 작전에 필요한 자금을 조달하는 것으로 확인됐다.

맨디언트는 여러 위협 행위를 지속해서 관찰하는 가운데 해당 주체에 대한 정보와 지식을 쌓아 충분한 판단 근거를 내릴 수 있는 시점이 되면 관찰해 온 여러 위협 행위를 특정 위협 주체로 이름을 붙인다.

APT43으로 명명한 공격 그룹도 같은 과정을 거쳐 이름을 붙인 케이스다. 미국 현지 시간 3월 28일에 발표한 APT43에 대한 보고서는 그동안 맨디언트가 관련 증거를 모으고, 상관관계가 없어 보이던 증거를 하나하나 연결해 낸 결과물이다.

맨디언트는 이번 보고서를 위해 구글 클라우드와도 긴밀히 협력을 했으며, 2022년 9월 APT42 발표 이후 처음으로 공식적인 이름을 붙인 공격 그룹인 APT43에 대한 상세 분석 정보를 보고서로 발간했다.

보고서에는 APT43이 노리는 주요 공격 대상 그리고 그들이 사용하는 TTP(전술, 기술, 절차)에 대한 깊이 있는 분석, 캠페인 및 작전 예시, 멀웨어 및 지표 등의 내용이 담겨 있다. 보고서의 주요 내용은 다음과 같다:

• 속성: 맨디언트는 2018년 이후 이 공격 그룹을 추적해 왔다. APT43의 우선순위는 북한의 해외, 대남 정보 기구인 '정찰총국(RGB: Reconnaissance General Bureau)'의 임무와 일치한다.

• 활동: APT43은 북학의 주체 국가(西州) 자력 갱생 이념에 부합하는 방식으로 운영 인프라를 구매하기 위해 가상자산을 훔쳐 자금 세탁했다. 그리고 이를 통해 사이버 위협 활동에 필요한 중앙 정부의 재정 부담을 줄였다.

• 표적: 스파이 작전의 대상은 대한민국, 일본, 유럽, 미국 같은 지역에 집중되어 있다. 이들 지역에 있는 정부, 비즈니스 서비스 및 제조업과 함께 지정학적 정책 연구를 하는 기관 및 싱크 탱크가 공격 그룹의 주요 타깃이었다. 또한, 이 공격 그룹은 2021년 동안 북한의 전염병 대응을 위한 일환으로 건강 관련 업종으로 공격의 초점을 옮기기도 했다.

• 전술: 이 공격 그룹은 사회공학적 기법을 동원하기 위해 수많은 스푸핑 및 사기 페르소나를 만들었다. 그리고 외교나 국방 부문에 몸담고 있는 개인으로 가장하고 도난당한 개인 식별 정보(PII)를 활용해 계정을 만들고 도메인을 등록했다. 또한, APT43은 운영 도구 및 인프라 구매를 위해 위장 신분을 만들기도 했다.

• 절차: APT43은 훔친 가상자산으로 깨끗한 가상자산을 채굴했다. APT43은 피해자 지갑에서 가상자산을 훔친 다음 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매했다. 그리고 구매한 해시 파워로 도난당한 가상자산과 연결되지 않은 깨끗한 지갑에 다른 가상자산을 채굴해 채웠다.

APT43은 사이버 범죄를 통해 북한의 스파이 활동을 지원할 수 있고, 장기간에 걸친 작전에 기꺼이 참여하며, 다른 북한의 스파이 조직과 협력해 왔다. 이를 통해 APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.