APT45는 2009년부터 활동해 온 북한의 사이버 공격 조직이다. 이 그룹은 다양한 해킹 기술을 사용하며, 맞춤형 악성 코드로 보안 시스템을 우회하는 방법을 아는 중간 수준의 정교함을 갖춘 것으로 평가받고 있다. 초기에는 주로 정찰 활동에 집중했지만, 최근에는 금전적 이익을 목표로 한 공격을 늘려가고 있다.
맨디언트(Mandiant)는 24일 블로그를 통해 해커 그룹 분석 내용을 공개하며, APT45가 북한 정부의 지원을 받는 중간 수준의 정교함을 갖춘 사이버 공격 조직이라 평가했다. 2009년 이후 APT45는 북한 정부의 정치적 이해관계에 따라 다양한 사이버 공격을 수행해왔다. 초기에는 정부 기관과 방위 산업을 대상으로 한 스파이 활동에 집중했지만, 이후 금융 분야를 노리는 등 금전적 이익을 목표로 공격 범위를 확장했다. 특히, APT45는 랜섬웨어 개발에도 관여한 것으로 보인다.
코로나19 초기 여러 북한 연계 조직들이 의료 및 제약 분야를 노렸다. APT45는 다른 조직들보다 이 분야에 대한 공격을 더 오래 지속했는데, 이는 관련 정보 수집 임무를 계속 이어간 것으로 보인다. 또한, APT45는 핵 관련 기관을 공격해 북한 정부의 정책 목표 달성을 지원하는 역할도 해왔다.
■ 목표 변화와 작전 대상 확장
APT45는 북한 정부의 정책 변화에 따라 활동 방향을 바꾸어 왔다. 공개된 악성 코드 샘플 분석에 따르면 이 그룹은 2009년부터 활동을 시작했으며, 2017년부터는 정부 기관과 방위 산업에 집중했다. 2019년에는 북한 정부의 핵 문제 및 에너지에 대한 관심과 일치하는 활동을 보였다. APT45는 재정적인 목적의 공격도 감행했으며, 특히 랜섬웨어에 대한 관심이 컸다.
■ 금융 부문 타겟팅
APT45는 금융 부문을 타겟으로 삼아 공격을 진행해왔다. 2016년에는 RIFLE을 활용해 한국의 금융 기관을 공격했고, 2021년에는 남아시아의 한 은행을 피싱 공격한 사례가 있다.
■ 중요 인프라 타겟팅
2019년 APT45는 인도의 쿠단쿨람 원자력 발전소 같은 핵 연구 시설과 원자력 발전소를 직접 타겟으로 삼았다. 이는 북한이 주도한 사이버 작전이 중요 인프라를 목표로 삼은 몇 안 되는 사례 중 하나로 꼽힌다.
■ 기술 탈취
APT45는 북한 산업 발전의 어려움을 극복하기 위해 기술 탈취에도 적극적으로 나서고 있다. 2019년 9월, APT45는 다국적 기업의 농업 과학 부서를 목표로 삼았다. 이는 코로나19로 인한 국경 봉쇄로 악화한 북한의 농업 생산 문제를 해결하기 위한 것으로 보인다. 첨단 농업 관련 기술 정보를 손에 넣어 식량 문제를 해결하고자 한 것으로 추정된다.
APT45 외에도 북한이 지원하는 여러 공격 그룹이 코로나19 시기에 의료 및 제약 분야에 집중했다. 이는 코로나19 치료제, 백신, 의료 기술 확보를 위한 것으로 보이며, 2023년까지도 이 분야에 대한 관심이 이어지고 있다.
■ 랜섬웨어 활용
맨디언트는 APT45로 추정되는 활동 클러스터를 추적 중이며, 이들 클러스터는 랜섬웨어를 사용해 작전 자금을 조달하거나 북한 정권을 위한 수익을 창출하는 것으로 보인다. 2022년, 미국 사이버 보안 및 인프라 보안국(CISA)은 북한 정부가 후원하는 공격 그룹이 의료 및 공공 건강 부문을 목표로 MAUI 랜섬웨어를 사용했다고 보고했다. 2021년, 카스퍼스키는 맨디언트가 SHATTEREDGLASS로 추적한 랜섬웨어를 확인했고, 이는 APT45로 의심되는 위협 행위자 집단에서 사용한 것으로 보인다.
■ 악성코드, 다른 북한의 공격 그룹과 차별화된 특징
APT45는 3PROXY 같은 공개 도구, ROGUEEYE 같은 공개된 악성 코드를 수정한 버전, 그리고 맞춤형 악성 코드를 사용한다. 이들의 악성 코드는 코드 재사용, 독특한 인코딩 방식, 고유한 패스워드 등 다른 북한의 공격 그룹과 차별화된 특징을 보인다.
■ APT45의 조직 구조
맨디언트는 APT45가 북한 정부의 지원을 받아 사이버 공격을 수행하는 조직이라는 점을 높은 확신을 가지고 평가했다. 또한, APT45가 북한 정찰총국(RGB)에 속한 조직일 가능성도 보고 있다. APT45의 공격 활동은 "Andariel", "Onyx Sleet", "Stonefly", "Silent Chollima" 등의 이름으로 공개되었으며, "Lazarus Group(라자루스 그룹)"과도 연관되어 있다.
APT45는 북한에서 가장 오랫동안 활동해 온 공격 조직 중 하나다. 이 조직의 활동은 북한 정권의 지정학적 우선순위를 반영하며, 초기에는 정부 기관과 방위 산업을 대상으로 한 사이버 스파이 활동에 집중했으나, 이후 의료와 농업 분야로 활동 범위를 넓혔다.
맨디언트는 “북한의 사이버 공격은 정보 수집과 동시에 금전적 이익을 추구하는 특징을 보인다. APT45도 이런 경향을 따르는 것으로 예상한다. 북한이 사이버 공격을 국가의 주요 역량으로 활용함에 따라 APT45를 비롯한 북한의 사이버 공격 그룹들은 북한 지도부의 변화하는 정책 우선순위에 따라 활동할 것”이라고 예상했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★