美국무부, 특정해커에 1천만달러 현상금, 韓․英 당국과 합동조사
“‘APT45’, 북한 핵개발자금 조달 위해 맹렬한 사이버공격”
[애플경제 이윤순 기자] 미국 국무부가 북한의 해커그룹인 ‘APT45’에 대한 경고를 발령하면서 특정 북한 해커에 대해 1천만 달러의 현상금을 내걸었다. 또 한국의 보안당국과 영국의 NCSC 등가 함께 이에 대한 경계령을 내렸다.
앞서 영국의 보안당국인 NCSC는 중요 인프라에 대한 보안 강화를 위한 경계령을 발령하고, 이들 북한 해킹 갱단의 주요 계열사와, 그들의 신원, 위치에 대한 정보를 입수한 것으로 알려졌다. 구글 소유의 사이버 보안 전문 기업 맨디안트(Mandiant)와, 사이버리즌 등의 인사이트에 따르면 이에 미 국무부도 ‘림종혁’이라는 유명 북한 해커의 신원을 파악하고, 그를 검거하기 위한 정보를 제공할 경우 1천만 달러의 현상금을 걸겠다고 밝혔다.
北해커, ‘림종혁’에 대한 현상금 걸어
7월 25일에 현상금 발표가 있은 후 외국 정부의 지시나 통제 하에 있으면서, 악의적인 사이버 활동에 참여한 모든 사람의 신원과 위치를 알려주는 제보자들까지 범위가 확대되었다. 국무부 관리들에 의하면 림종혁은 북한의 군사 정보 기관인 정찰총국이 통제하는 국가 지원 사이버공격 집단인 APT45와 관련이 있다. APT45는 ‘안다리엘’이니, 침묵의 초리마니, 오닉스 슬리트, 다크서울이라고도 불린다.
이에 따르면 림 일당은 미국 내 병원과 각종 의료 서비스 시스템을 손상시키고, 네트워크에 마우이 랜섬웨어를 설치하고, 몸값을 갈취하는 작태를 반복해왔다. 미 국무부는 “랜섬웨어가 의료 검사나 전자 의료 기록에 사용되는 암호화된 피해자의 컴퓨터와 서버를 공격하고, 의료 서비스를 중단시켰다”며 “그런 다음 이러한 악의적인 사이버 행위자들은 몸값 지불을 협박하고, 미국 정부 기관과 세계 각국의 방위 계약 등을 표적으로 삼는 악의적인 사이버 작전에 자금을 지원하고 있다”고 밝혔다.
영국의 NCSC와 미 국무부, 그리고 한국의 정보기관은 합동으로 APT45에 대한 경계령을 발령했다. 이들 기관은 APT45가 북한의 군사력 증강과 핵 야망을 더욱 확대하기 위해 수행한 글로벌 사이버 간첩 작전을 폭로한 것으로 전해졌다. NCSC에 따르면 APT45는 주로 방위산업, 항공우주, 핵 및 엔지니어링 기관과 의료 및 에너지 부문의 조직을 표적으로 삼고 있다.
APT45…방위산업, 항공, 핵, 의료부문, ‘표적’ 삼아
이들 기관은 이와 함께 APT45의 해킹 기술과 전술, 절차에 대한 기술적 세부 정보를 제공했다. 또한 APT45그룹의 사이버공격을 방어하는 데 도움이 되는 매뉴얼도 함께 공개했다. 특히 NCSC는 “미국과 한국 파트너 기관과 함께 네트워크 방어자에게 이 권고에 명시된 지침을 따라 이 악의적인 활동을 방지하기 위한 강력한 보호 조치를 취하도록 강력히 권장한다”면서 “APT4는 북한에서 가장 오랫동안 운영된 사이버 운영자 중 하나”라고 설명했다.
국무부가 현상금을 제시한 날, 보안업체 맨디안트는 APT45 그룹의 연혁을 소상하게 소개하는 보고서를 발표했다. 이에 따르면 APT45는 “2009년부터 간첩 기반 사이버 공격을 오래도록 자행하며, 운영되어온 정교한 북한 사이버위협 집단”이라고 했다.
맨디안트는 또 “APT45가 점차 더욱 활발하게 외화벌이나 탈취에만 주력하고 있다.”면서 “이러한 변화가 북한의 ‘변화하는 우선순위’, 즉 핵무기 개발자금을 조달하려는 목적을 반영한다”고 주장했다. 특히 이 그룹은 2017년 초부터 정부 기관과 방위 산업에 공격 목표를 맞추었고, 2019년부터는 ‘핵 문제와 에너지’를 겨냥해 집중적으로 활동하고 있다.
맨디안트는 최근 몇 년 동안 이 그룹의 주목할 만한 공격 중 일부를 자세히 설명하면서 “광범위한 분야를 표적으로 삼고 있다”고 밝혔다. 예를 들어, “지난 2016년에 ‘APT45’가 한국 금융 기관을 표적으로 삼았을 가능성이 높으며, 2021년에는 스피어 피싱 공격으로 남아시아 은행을 표적으로 삼았다”는 것이다.
각국 핵시설, 금융기관도 주요 공격 대상
NCSC에서 지적했듯이 APT45는 중요 인프라에 더욱 집중하고 있으며, 맨디안트는 “2019년에 APT45가 인도의 쿠단쿨람 원자력 발전소와 같은 핵 연구 시설과 발전소를 직접 표적으로 삼았다”고 언급했다. 이는 북한의 해킹 집단이 중요 인프라를 표적으로 삼은, 몇 안 되는 공개적으로 알려진 사례 중 하나로 알려져있다.
지난 2020년 9월 APT45는 다국적 기업의 작물 과학 부서를 표적으로 삼기도 했다. 이는 “COVID-19 팬데믹 동안 농업 생산을 방해하려는 목적일 수 있다”는 맨디안트의 분석이다. 또 맨디안트는 또 “지난 2021년 내내 ‘APT45’가 의료 및 제약 회사에 초점을 맞추었으며, 이는 2023년까지 계속되었다”고 주장했다.
맨디안트는 특히 “이 그룹의 사이버공격 목적은 정보 수집과 재정적 동기, 두가지”라며 “북한이 ‘국가 권력의 도구’로 사이버 작전에 점점 더 의존하게 되면서 APT45와 유사한 그룹의 활동이 한층 활발해지고 있다”고 밝혔다.