맨디언트가 한국 시간 4월 4일, 미디어 브리핑을 열고 북한의 공격 그룹 APT43을 분석한 보고서를 발표했다. APT43은 사이버 범죄를 통해 북한 첩보 작전에 필요한 자금을 조달하는 것으로 확인됐다. 

맨디언트는 위협 행위자들의 활동을 추적하는데, 여러 위협 행위 활동을 특정 공격 그룹으로 묶기까지 충분한 증거가 필요하다. 맨디언트는 여러 위협 행위를 지속해서 관찰하는 가운데 해당 주체에 대한 정보와 지식을 쌓아 간다. 그리고 충분한 판단 근거를 내릴 수 있는 시점이 되면 관찰해온 여러 위협 행위를 특정 위협 주체로 이름을 붙인다. 

APT43으로 명명한 공격 그룹도 같은 과정을 거쳐 이름을 붙인 케이스이다. 미국 현지 시간 3월 28일 발표한 APT43에 대한 보고서는 그동안 맨디언트가 관련 증거를 모으고, 상관관계가 없어 보이던 증거를 하나하나 연결해낸 결과물이다. 맨디언트는 이번 보고서를 위해 구글 클라우드와도 긴밀히 협력을 했으며, 2022년 9월 APT42 발표 이후 처음으로 공식적인 이름을 붙인 공격 그룹인 APT43에 대한 상세 분석 정보를 보고서로 발간하였다. 

보고서에는 APT43이 노리는 주요 공격 대상 그리고 그들이 사용하는 TTP(전술, 기술, 절차)에 대한 깊이 있는 분석, 캠페인 및 작전 예시, 멀웨어 및 지표 등의 내용이 담겨 있다. 보고서의 주요 내용은 다음과 같다: 

▲속성: 맨디언트는 2018년 이후 이 공격 그룹을 추적해왔다. APT43의 우선순위는 북한의 해외, 대남 정보 기구인 '정찰총국(RGB: Reconnaissance General Bureau)의 임무와 일치한다. 

▲활동: APT43은 북학의 주체 국가(西州) 자력갱생 이념에 부합하는 방식으로 운영 인프라를 구매하기 위해 암호화폐를 훔쳐 자금 세탁했다. 그리고 이를 통해 사이버 위협 활동에 필요한 중앙 정부의 재정 부담을 줄였다. 

▲표적: 스파이 작전의 대상은 대한민국, 일본, 유럽, 미국 같은 지역에 집중되어 있다. 이들 지역에 있는 정부, 비즈니스 서비스 및 제조업과 함께 지정학적 정책 연구를 하는 기관 및 싱크 탱크가 공격 그룹의 주요 타깃이었다. 또한, 이 공격 그룹은 2021년 동안 북한의 전염병 대응을 위한 일환으로 건강 관련 업종으로 공격의 초점을 옮기기도 했다. 

▲전술: 이 공격 그룹은 사회공학적 기법을 동원하기 위해 수많은 스푸핑 및 사기 페르소나를 만들었다. 그리고 외교나 국방 부문에 몸담고 있는 개인으로 가장하고 도난당한 개인 식별 정보(PII)를 활용해 계정을 만들고 도메인을 등록했다. 또한, APT43은 운영 도구 및 인프라 구매를 위해 위장 신분을 만들기도 했니다. 

▲절차: APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. APT43은 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매했다. 그리고 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채굴해 채웠다. 

APT43은 사이버 범죄를 통해 북한의 스파이 활동을 지원할 수 있고, 장기간에 걸친 작전에 기꺼이 참여하며, 다른 북한의 스파이 조직과 협력해 왔다. 이를 통해 APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있다. 

APT43에 대한 맨디언트 보고서는 데일리시큐 자료실에서 다운로드 할 수 있다. 확인할 수 있다. 

★정보보안 대표 미디어 데일리시큐!