북한 사이버 조직 ‘APT38’ 11개국 16개 은행 상대로 해킹 공격

미국 사이버보안업체 파이어아이가 북한이 해킹으로 전세계 은행에서 거액을 탈취했다고 밝혔다.

북한의 해킹조직 ‘APT38’가 미국 등 세계 11개국의 16개 은행을 해킹해 11억 달러(약 1조2320억 원)의 외화 탈취를 시도한 다음 수억 달러를 북한으로 빼돌린 것으로 확인됐다. 

3일(현지시간) CNN등의 외신에 따르면 미국 사이버보안업체 ‘파이어아이’는 북한의 사이버 조직 ‘APT38’이 적어도 11개국 16개 은행을 상대로 자금 탈취를 위한 해킹 공격을 진행했다고 밝혔다.

매체는 “파이어아이는 APT38이 ‘라자루스’로 알려진 북한 해킹그룹의 산하조직으로 북한 정권을 위한 자금 마련 임무를 맡고 있다”며 그 실체와 수법을 공개했다.

APT38은 2014년 이후 미국, 베트남, 필리핀, 말레시이아 등 최소 11개국 16개 이상의 은행을 해킹했다. 파이어아이는 APT38의 소행으로 추정되는 해킹은 ‘베트남 TP은행'(2015년), ‘방글라데시 중앙은행'(2016년), ‘대만 파 이스턴 국제은행'(2017년) 해킹과 올해 1월 ‘방코멕스트'(멕시코), 5월 ‘방코데칠레'(칠레) 해킹까지 총 5건이라고 밝혔다. 또 국제 NGO 두 곳도 피해를 입었다고 설명했다.

APT38은 전통적인 악성 프로그램을 설치해 돈을 빼돌린 것으로 알려졌다. 스위프트(SWIFT)라는 세계 은행간 송금 시스템에 허위 거래를 입력해 자금을 빼돌린 다음 거래내역 증거를 삭제했다.

파이어아이 측은 북한 소행으로 추정한 이유로 평양과 중극의 IP(인터넷 주소)가 APT38의 악성 코드에서 발견된 점, 지난달 미 법무부가 기소한 북한 해커 박진혁이 해킹 프로그램 개발을 도운 흔적이 발견된 점을 들었다.

샌드라 조이스 파이어아이 부사장은 “APT38은 전세계에서 최대 규모의 위협적인 해커 조직”이라며 “이들은 유엔 안보리 대북 제재(2013년 3월) 이후 약 1년이 지난 2014년 2월부터 본격 활동에 들어간 것으로 조사됐다”고 밝혔다. 미 연방수사국(FBI)을 비록한 각국 정보·수사기관은 이미 APT38의 존재를 확인하고 파이어아이와 함께 이들의 활동을 추적하고 있다고 부연했다.

조이스 부사장은 “APT38의 특징 중 하나는 공격 이전에 목표물의 시스템을 익히는 데 최소 몇 달부터 거의 2년에 가까운 시간을 들인다는 것”이라며 “공격에 성공하면 흔적을 숨기고 피해단체의 진상 파악을 어렵게 하기 위해 악성 코드를 배포한다”고 전했다.

그는 이어 “APT38이 여전히 운영 중인 것으로 보인다”며 “외교적 노력과는 관계 없이 움직이는 것 같아 긴박감을 느껴 이를 밝히기로 했다”고 자초지종을 설명했다.

미 정부 역시 북한의 해킹 공격을 사전에 알고 있었던 것으로 보인다. CNN은 “미 국토안보부가 트럼프 대통령과 김정은 위원장의 정상회담(6.12) 며칠 뒤 이런 북한의 사이버 공격을 경고했다”고 보도했다.

파이어아이는 “북한이 탄도미사일이나 핵무기 개발과 동시에 사이버 공격을 했다”며 “북한은 미국 및 한국과 외교 대화를 하는 도중에도 공격을 계속 했다”고 지적했다.