미 사이버보안업체 '파이어아이' 보고서 "APT38, 은행·금융기관 전문"
템프허밋·라자루스 정치적 사이버 스파이 활동 주력
APT38, 11억달러 은행털이 시도, 최소 1억달러 벌어들여
템프허밋·라자루스 정치적 사이버 스파이 활동 주력
APT38, 11억달러 은행털이 시도, 최소 1억달러 벌어들여
|
AFP통신·지디넷 등 외신 보도에 따르면 파이어아이는 APT38이 북한 정권을 위한 자금 마련 임무를 맡고 있다며 그 실체와 수법을 공개했다.
2014년 소니픽처스 해킹 사건으로 전 세계가 북한을 사이버 스파이 세계의 심각한 플레이어로 인식한 이후 북한의 해킹조직은 라자루스(Lazarus) 그룹 산하로 매체들의 주목을 받아왔다.
하지만 파이어아이의 전문가들은 이날 보고서에서 북한 해킹조직인 세 그룹 사이에는 명확한 구분이 있으며 ‘템프허밋(TEMP.Hermit)’과 라자루스( 등 두 조직은 정치적 사이버 스파이 활동을 하고, APT38은 은행 및 금융기관에 대한 사이버 강도에 집중하고 있다고 분석했다.
전 세계 민간보안 업계와 정부 기관은 템프허밋과 라자루스에 대해선 장기간 추적하고 분석, 수십 건의 보고서를 작성했지만 APT38은 거의 알려지지 않았다.
|
파이어아이는 APT38이 최소 11억달러를 훔치려 했으며 보수적으로 볼 때 약 1억달러(1120억원) 벌어들였다고 밝혔다.
APT38은 북한 내 다른 해킹조직들과 정보를 공유하면서 장시간에 걸쳐 범행 대상 은행에 조심스럽게 접근하는 것이 특징이다.
이들은 평균 155일, 최대 678일에 걸쳐 국제적인 은행 간 송금 시스템인 SWIFT에서 은행들의 활동을 살핀 뒤, 악성코드를 설치하고 가짜 거래를 유발하는 수법으로 돈을 빼돌렸다. 그 후에는 거래내역을 통째로 삭제하고 시스템을 망가뜨려 피해자들의 주의를 분산시켰다.
샌드라 조이스 파이어아이 부사장은 “APT38은 목표물 조직의 복잡한 활동과 내용을 배우는 데 많은 시간을 투자했다”며 “일단 성공하고 나면 나가는 길에 파괴적인 악성코드를 배포해 흔적을 감추고 피해자들이 무슨 일이 일어났는지 알아내는 것을 더욱 어렵게 만들었다”고 말했다.
또 APT38이 이메일 피싱을 포함해 매우 정교한 기술을 사용해 접근자격을 취득하고, 용이한 송금을 위해 비정부 기구나 재단의 직원 신분을 도용했으며, 어떤 경우에는 SWIFT를 조작하기도 했다고 설명했다.
조이스 부사장은 “APT38이 여전히 활동하고 있는 것으로 보이며, 어떠한 외교적 노력에도 방해를 받지 않기 때문에 ‘긴급함’ 측면에서 위협에 대해 공개하기로 했다”고 말했다.
