▲ 미국 사이버 보안업체 ‘파이어아이(Fireeye)’ 가 최근 발표한 북한 해킹 보고서의 그래픽. 북한 해킹 조직 ‘APT 37’의 공격을 받은 국가와 지역으로 한국과 베트남, 일본, 중동을 붉게 표시했다.[VOA]

북한의 해킹조직 APT38이 전세계 은행에 대한 수억 달러 규모의 공격을 주도한 것으로 확인됐다고 3일(현지시간) 글로벌 보안 기업 파이어아이가 밝혔다. 

파이어아이는 "새로 확인된 해킹 조직 APT38은 북한의 다른 해킹 조직과는 다르지만 연관성이 있다"며 "고립된 북한의 정권을 위한 기금 마련이 목표"라고 밝혔다. 이어 "ATP38은 라자루스(Lazarus)로 알려진 북한 해킹 조직의 하위 그룹"이라며 "해킹 수행에 있어 독특한 기술과 도구를 갖추고 있다"고 덧붙였다. 

미국 보안업체인 파이어아이가 'APT (Advanced Persistent Threat·지능형 지속 보안 위협) 38'이라고 이름 붙인 이 조직은 금융기관을 해킹해 외화를 탈취하려는 목적으로 만들어진 북한의 새로운 해커 조직으로 미국·멕시코·브라질·러시아·베트남 등 최소 11국의 주요 금융기관과 NGO(비정부기구) 등 16개 이상의 조직을 해킹했고 11억달러(약 1조2300억원)어치 외화 탈취를 시도해 수억달러를 북한으로 빼돌린 것으로 확인됐다.

이들은 2015년 베트남의 TB은행, 2016년 방글라데시의 방글라데시뱅크, 2017년 대만의 극동인터내셔널은행, 2018년 멕시코의 방코멕스 및 칠레의 방코 데 칠레 등의 공격도 주도한 것으로 보인다. 

날라니 프레이저 파이어아이 연구원은 "ATP38의 공격이 2014년 이후 최소 11억달러(약 1조2320억 원)를 노렸다"며 "우리가 확인할 수 있는 데이터에 따르면 최소 수억 달러의 피해가 관측됐다"고 말했다. 

3일 미국 워싱턴D.C.에서 열린 '사이버 디펜스 서밋'에서 보안 기업 파이어아이의 샌드라 조이스 부사장은 "APT38은 전 세계에서 규모가 가장 크고 위협적인 해커 조직"이라며 "이들은 유엔 안보리 대북 제재(2013년 3월) 이후 약 1년 뒤인 2014년 2월부터 본격 활동에 들어간 것으로 나타났다"면서. 미 연방수사국(FBI)을 비롯한 각국 정보·수사기관은 이미 APT38의 존재를 확인하고 파이어아이와 함께 이들의 활동을 추적하고 있다고도 덧붙였다.

그는 또 "ATP38의 특징 중 하나는 공격 이전에 목표물의 시스템을 익히는 데 최소 몇 달부터 거의 2년에 가까운 시간을 들인다는 것"이라며 "공격에 성공하면 흔적을 숨기고 피해단체의 진상 파악을 어렵게 하기 위해 악성 코드를 배포한다"고 말했다.

 비정부기구 또는 재단 내 가짜 신분을 만들어 돈을 빼돌리거나, 스위프트(SWIFT)로 불리는 글로벌 은행 간 송금 시스템을 조작하는 수법을 쓰기도 했다.

 조이스 부사장은 "ATP38이 여전히 운영 중인 것으로 보인다"며 "외교적인 노력과는 관계없이 움직이는 것 같아 긴박감을 느껴 이를 밝히기로 결정했다"고 덧붙였다.

또한 재클린 오리어리 파이어아이 수석 연구원은 "실명을 공개할 수 없는 한 국제 NGO(비정부기구)가 한국으로 송금하려던 돈을 중간에서 해킹해 빼가기도 했다"면서 "북한이 한국 금융기관의 송금 관련 데이터를 상당 수준 수집한 것도 확인했다"고 말했다.

ATP38에 대한 정보 일부는 지난달 미국 법무부가 2014년 소니픽처스 해킹사건과 2016년 방글라데시 중앙은행 해킹사건, 2017년 전세계 23만 대 이상의 컴퓨터를 감염시킨 '워너크라이' 랜섬웨어 공격 등과 연루된 혐의를 받고 있는 북한 해커 박진혁을 기소하면서 드러났다. 

조이스 부사장은 그러나 박씨는 ATP38에서 중요하지 않은 역할을 한 것으로 보인다며 "ATP38의 주된 목표는 북한 정권을 위한 모금"이라고 전했다.

미국에 본사를 둔 파이어아이는 기업과 공공 기관 전용 보안 프로그램을 개발하는 글로벌 보안 기업으로 포브스 선정 2000대 기업 중 절반이 이 회사 프로그램을 사용하고 있다. 

이번 발표는 파이어아이와 정보기관이 APT38의 공격을 받은 기관 전산망을 분석하는 과정에서 나왔다. 파이어아이는 APT38이 지난해 5월 세계 150여국 30여만대 컴퓨터를 감염시킨 '워너크라이' 공격의 배후로 지목된 북한의 해커 조직 라자루스와는 다른 조직이라고 밝혔다.