레코디드퓨처가 분석한 최근 북한 사이버공격그룹, 활동 두드러지는 ‘퍼플알파’

“북한의 사이버위협 공격그룹의 공격 목적은 대부분 정보 탈취다. 다른 국가의 사이버공격과 다른 점은 정보 탈취 외에 외화벌이를 목적으로 주로 공격하고 있다는 것이다.”

글로벌 사이버위협 인텔리전스 전문 기업인 레코디드퓨처의 위협 분석·대응 전문조직인 인식트(Insikt)에서 북한 사이버공격그룹을 추적, 연구하는 미치 해저드(Mitch Haszard) 수석연구원의 이야기다.

해저드 수석연구원은 4일 레코디드퓨처코리아가 개최한 기자간담회에서 오랜 기간 추적해온 북한 사이버공격그룹의 특징을 이렇게 말하면서 “정보 탈취 공격은 모든 국가들이 스파이 활동을 하는 것처럼 북한도 스파이 활동으로 벌이는 것과 같다. 다만 북한은 방해나 파괴적 사이버공격보다는 정보수집과 돈 버는 것을 선호한다”고 설명했다.

그는 가장 활동적인 북한의 공격그룹으로 ‘김수키’를 지목했다. 지난 2009년부터 2023년 사이에 북한 공격그룹이 벌인 것으로 분석하고 있는 공격 가운데 37%(100여건)가 김수키의 활동이라고 했다. 그 다음으로는 라자루스가 70건 수준으로 두드러진 활동을 보였고, APT37, APT38, 안다리엘도 주요 공격그룹으로 꼽았다.

해저드 수석연구원은 “APT38과 안다리엘은 활동이 적다. 하지만 이들의 사이버공격 영향력이 덜한 것은 아니다”라면서 “이 두 그룹은 금융기관과 암호화폐(이하 가상자산)거래소 등에서 수억달러를 탈취했다”고 말했다.

김수키는 가장 활발한 공격 활동을 펼치고 있는 그룹인데, 정보탈취 목적의 공격 활동이 대부분으로 파악됐다. 라자루스는 정보 탈취뿐만 아니라 금전(외화벌이) 목적은 물론 (서비스) 방해 공격과 파괴 공격도 드물게 벌이고 있는 것으로 분석돼 다양한 목적의 공격을 펼치는 것으로 보고 있다. 김수키와 APT37은 주로 정보 탈취 공격이 많지만, APT38은 다른 공격에 비해 외화벌이를 위한 공격 유형이 주를 이룬다는 게 해저드 수석연구원의 설명이다.

그에 따르면, 북한 사이버위협 공격그룹들은 지난 2022년에만 약 17억달러 상당의 가상자산을 탈취했다. 이 규모는 북한 경제의 5%, 북한 군사 분야 전체 예산의 45%에 해당된다.

주요 사이버공격 대상이자 공격 피해산업으로는 정부기관이 가장 많고, 가상자산, 미디어, 전통 금융, 방위 산업과 비정부기구(NGO)가 그 다음 순으로 많은 공격을 받은 것으로 나타났다. 해저드 수석연구원은 “이같은 결과는 전혀 놀랍지 않다”며 “바로 북한 정권의 전략적 목표와 일치하기 때문이다. 가상자산은 북한에 매우 중요한 수익원이다”라고 지적했다.

그룹별로 분석해 보면, 김수키와 APT37은 주로 정부와 미디어, NGO 대상 공격에 집중하고 있다. 라자루스는 다양한 산업 분야를 공격하고 있지만 가상자산과 금융 산업 대상 공격이 많다. APT38은 가상자산과 금융회사 타깃 사이버공격에 주력한다. 안다리엘은 NGO와 중요 인프라 산업을 공격한다.

이들은 소니픽처스 사이버공격, 워너크라이 랜섬웨어 공격처럼 북미와 유럽 등에서 수행한 사이버공격으로 잘 알려져있지만 대부분 아시아지역을 표적으로 하고 있다. 77%의 공격은 아시아 지역 조직 대상, 10%의 공격은 북미와 유럽 지역 조직을 대상으로 공격했다. 남미 지역을 대상으로 한 공격은 2%에 불과했다.

레코디드퓨처 인식트는 최근 북한 사이버공격그룹으로 보이는 퍼플알파(PurpleAlpha)를 비롯해 TAG-66, TAG-71, TAG-77 그룹을 추적하고 있다. 퍼플알파의 활동은 김수키와 공통점이 많고, 아시아와 유럽에서 주로 활동한다. 가상자산 거래소 공격 작전을수행한 적도 있다. TAG-66도 김수키와 공통점이 있고 아시아 지역에서 피싱 공격을 주무기로 정보유출 목적의 공격을 벌이면서 외화벌이 공격을 가하기도 한다. TAG71은 크립토코어(Cryptocore)/TA444와 공통점이 발견된다. 외화벌이 목적으로 아시아와 미국에서 가상자산, 벤처캐피탈(VC) 대상 공격 활동을 수행한다. TAG-72는 APT37과 공통점이 있고 아시아지역에서 정보유출 목적의 공격을 벌인다.

이 가운데 퍼플알파 활동이 가장 많이 포착됐다. 해저드 수석연구원은 “이들은 주로 한국 단체를 공격한다. 지난 2021년 11월에 퍼플알파와 관련한 도메인을 최소 1349개 발견했다. 네이버 등과 같이 인기 있는 인터넷 포털 서비스 로그인을 위조해 공격 대상에게 단축 URL을 전달하는데, 허용목록을 이용해 공격 대상만 피싱 사이트를 볼 수 있도록 한다. 계피싱 작전이 끝난 뒤에 피싱 서버를 명령·제어(C2) 서버로 재사용하기도 한다. 한국군 관련 항공우주연구원 피싱사이트를 만들기도 했다”고 강조했다.

그의 추적 결과에 따르면, 퍼플알파는 2024년에만 한국의 인터넷 포털, 에너지 회사, 건설회사, 정부기관, 가상자산거래소, 간편결제 애플리케이션 등을 대상으로 한 공격을 벌였다. 미국의 이메일 서비스, 싱크탱크와 소셜네트워크서비스(SNS), 유럽 방위산업체와 통신사, 방위산업체를 공격하기도 했다. 1월과 2월, 4월, 7월까지 퍼플알파의 활발한 공격 활동을 탐지했다.

이밖에도 올해 두드러진 공격그룹의 사이버위협 활동을 묻는 질문에 해저드 수석연구원은 “북한의 공격그룹 외에 중국의 위협 행위자들도 한국 기관과 민간 기업을 대상으로 한 활동을 활발히 하고 있다”면서 “북한 공격그룹은 주로 네이버, 카카오 등 유명 서비스 피싱 공격으로 시작하는 경우가 많지만, 중국의 공격그룹은 더 고도화된 공격 형태를 보인다. 제로데이 취약점을 활용하거나 라우터 장비를 악용해 침투하는 시도가 많이 있다”고 답했다.

레코디드퓨처는 지난 2009년 미국 매사추세츠주 서머빌(보스턴)에서 설립된 사이버위협 인텔리전스 제공 기업이다. 인터넷상에 공개된 정보를 포함해 광범위한 전세계 외부소스로부터 신·변종 악성코드, 제로데이 취약점, 의심스러운 IP와 도메인 등의 위협 데이터를 수집하고 자동 분석해 실시간 위협 인텔리전스를 제공한다. 자체 인텔리전스 인공지능(AI)으로 위협 데이터를 분류, 분석, 가공해 고객에게 가치 있는 정보로 제공하고 업데이트한다. 위협 정보는 머신러닝과 자연언어처리(NLP) 기술을 사용해 지속 분석한다. 한국에는 지난 2019년 지사를 정식 설립하면서 본격 진출해 국내에서 사업을 활발히 벌이고 있다. 9월 현재, 전년까지의 고객 수 대비 2배 많은 위협 인텔리전스 서비스 고객사를 확보했다.

한규돈 레코디드퓨처코리아 지사장은 “레코디드퓨처는 AI 기술을 많이 활용하면 편향되지 않고 더 객관적인 정보를 실시간으로 제공할 수 있고, 위협 인텔리전스를 활용해 다양한 위협을 방어해야 하는 한국의 많은 기관과 기업들이 정말로 중요한 우선순위를 파악해 실시간으로 액션을 취해 중요자산을 보호할 수 있도록 제공한다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

 

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다