"北해커조직, 해외서 1조원 탈취 시도"
"北해커조직, 해외서 1조원 탈취 시도"
- 입력 2018.10.04 03:01
美보안기업 "미국·멕시코 등 최소 11國 금융기관·NGO 해킹
2014년부터 수억달러 北 빼돌려… 한국 가던 돈 가로채기도"
북한이 지난 4년간 금융기관 해킹으로 외화를 탈취하는 금융 전문 해커 조직을 운영해온 사실이 3일(미국 시각) 처음으로 공개됐다. 미국 보안업계가 'APT (Advanced Persistent Threat·지능형 지속 보안 위협) 38'이라고 이름 붙인 이 조직은 미국·멕시코·브라질·러시아·베트남 등 최소 11국의 주요 금융기관과 NGO(비정부기구)를 해킹했고 11억달러(약 1조2300억원)어치 외화 탈취를 시도해 수억달러를 북한으로 빼돌린 것으로 확인됐다.
3일 미국 워싱턴D.C.에서 열린 '사이버 디펜스 서밋'에서 보안 기업 파이어아이의 샌드라 조이스 부사장은 "APT38은 전 세계에서 규모가 가장 크고 위협적인 해커 조직"이라며 "이들은 유엔 안보리 대북 제재(2013년 3월) 이후 약 1년 뒤인 2014년 2월부터 본격 활동에 들어간 것으로 나타났다"고 말했다. 미 연방수사국(FBI)을 비롯한 각국 정보·수사기관은 이미 APT38의 존재를 확인하고 파이어아이와 함께 이들의 활동을 추적하고 있다고도 덧붙였다.
재클린 오리어리 파이어아이 수석 연구원은 "실명을 공개할 수 없는 한 국제 NGO(비정부기구)가 한국으로 송금하려던 돈을 중간에서 해킹해 빼가기도 했다"면서 "북한이 한국 금융기관의 송금 관련 데이터를 상당 수준 수집한 것도 확인했다"고 말했다.
미국에 본사를 둔 파이어아이는 기업과 공공 기관 전용 보안 프로그램을 개발하는 글로벌 보안 기업으로 포브스 선정 2000대 기업 중 절반이 이 회사 프로그램을 사용하고 있다. 이번 발표는 파이어아이와 정보기관이 APT38의 공격을 받은 기관 전산망을 분석하는 과정에서 나왔다. 파이어아이는 APT38이 지난해 5월 세계 150여국 30여만대 컴퓨터를 감염시킨 '워너크라이' 공격의 배후로 지목된 북한의 해커 조직 라자루스와는 다른 조직이라고 밝혔다.
파이어아이는 APT38의 소행으로 추정되는 해킹은 베트남 TP은행(2015년), 방글라데시 중앙은행(2016년), 대만 파 이스턴 국제은행 해킹(2017년)과 올해 1월 방코멕스트(멕시코), 5월 방코데칠레(칠레) 해킹까지 총5건이라고 밝혔다. 또 국제 NGO 두 곳도 피해를 입었다고 덧붙였다. 파이어아이 관계자는 "주요 기관들이 해킹당한 사실을 공개하기를 꺼린다는 점을 감안하면 실제 해킹 시도와 피해 규모는 훨씬 더 클 것"이라고 말했다.
파이어아이 측은 북한 소행으로 추정한 이유로 평양과 중국의 IP(인터넷 주소)가 APT38의 악성 코드에서 발견된 점, 지난달 미 법무부가 기소한 북한 해커 박진혁이 해킹 프로그램 개발을 도운 흔적이 발견된 점을 들었다. 파이어아이 관계자는 "북한 정찰총국 소속 해킹 연구 기관 '110호 연구소'가 APT38에 기술 지원을 하는 것으로 추정된다"고 말했다.
이들은 장기간 특정 대상을 표적으로 삼고 금융기관만 노린다는 점에서 불특정 다수의 사이트에 대해 광범위한 공격을 가하는 라자루스와 다르다. 파이어아이 조사에 따르면 APT38은 평균 155일 동안 은행 전산망에 잠입해 보안 시스템을 분석하고 은행별 맞춤 해킹 프로그램을 만들었다. 이후 피해 은행이 해외 송금을 할 때 사용하는 은행 간 송금망을 해킹해 돈을 빼냈다. 돈세탁을 위해 다른 국가 전산망을 중간에 이용하고, 흔적을 없애기 위해 피해 은행 전산망 전체를 파괴하는 지능적 수법도 썼다. APT38은 한 기관에 최장 2년 잠복하기도 했다.
파이어아이 관계자는 "APT38은 한 번에 동시에 여러 금융기관을 공격할 능력을 갖췄다"면서 "북한의 재정난이 외교적으로 해결되지 않는 한 금융기관에 대한 해킹 시도는 계속 될 것"이라고 말했다.
☞APT38(지능형지속보안위협 38호)
금융기관을 해킹해 외화를 탈취하려는 목적으로 만들어진 북한의 새로운 해커 조직. 보안업계는 이름을 밝히지 않는 해커 조직을 발견하면 이렇게 APT(Advanced Persistent Threat)와 숫자로 이름을 붙인다. 예컨대 APT33(이란에 거점을 둔 해커 조직), ATP29(러시아 조직)와 같은 식이다. 해커 조직명의 APT는 장기간에 걸쳐 타깃을 분석·공격하는 치밀한 해킹 수법을 일컫는다.