맨디언트가 북한의 공격 그룹인 APT43을 분석한 보고서를 발표합니다. 이 공격 그룹은 사이버 범죄로 첩보 작전에 필요한 자금을 조달하였습니다.

맨디언트는 위협 행위자들의 활동을 추적합니다. 여러 위협 행위 활동을 특정 공격 그룹으로 묶기까지 충분한 증거가 필요합니다. 맨디언트는 여러 위협 행위를 지속해서 관찰하는 가운데 해당 주체에 대한 정보와 지식을 쌓아 갑니다. 그리고 충분한 판단 근거를 내릴 수 있는 시점이 되면 관찰해온 여러 위협 행위를 특정 위협 주체로 이름을 붙입니다.

APT43으로 명명한 공격 그룹도 같은 과정을 거쳐 이름을 붙인 케이스입니다. 2023년 4월 3일 발표한 APT43에 대한 보고서는 그동안 맨디언트가 조각조각 증거를 모으고, 서로 관계없어 보이던 것들을 하나하나 연결해 가는 노력의 결과물입니다. 이번 보고서가 나오기까지 구글 클라우드와도 긴밀히 협력을 하였습니다. 이렇게 하여 2022년 9월 APT42를 발표한 후 처음으로 공식적인 이름을 붙인 공격 그룹인 APT43에 대한 상세 분석 정보를 공유하게 되었습니다.

보고서에는 APT43이 노리는 주요 공격 대상 그리고 그들이 사용하는 TTP(전술, 기술, 절차)에 대한 깊이 있는 분석, 캠페인 및 작전 예시, 맬웨어 및 지표 등의 내용이 담겨 있습니다. 다음은 주요 내용입니다.

속성: 맨디언트는 2018년 이후 이 공격 그룹을 추적해왔습니다. APT43의 우선순위는 북한의 해외, 대남 정보 기구인 '정찰총국(RGB: Reconnaissance General Bureau)의 임무와 일치합니다.

활동: APT43은 북한의 통치 이념인 주체 사상에 부합하는 방식으로 운영 인프라를 구매하기 위해 암호화폐를 훔쳐 자금 세탁을 하였습니다. 그리고 이를 통해 사이버 위협 활동에 필요한 중앙 정부의 재정 부담을 줄였습니다.

표적: 스파이 작전의 대상은 대한민국, 일본, 유럽, 미국 같은 지역에 집중되어 있습니다. 이들 지역에 있는 정부, 비즈니스 서비스 및 제조업과 함께 지정학적 정책 연구를 하는 기관 및 싱크 탱크가 공격 그룹의 주요 타깃이었습니다. 또한, 이 공격 그룹은 2021년 동안 북한의 전염병 대응을 위한 일환으로 건강 관련 업종으로 공격의 초점을 옮기기도 하였습니다.

전술: 이 공격 그룹은 사회공학적 기법을 동원하기 위해 수많은 스푸핑 및 사기 페르소나를 만들었습니다. 그리고 외교나 국방 부문에 몸담고 있는 개인으로 가장하고 도난당한 개인 식별 정보(PII)를 활용해 계정을 만들고 도메인을 등록하였습니다. 또한, APT43은 운영 도구 및 인프라 구매를 위해 위장 신분을 만들기도 하였습니다.

절차: APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴하였습니다. APT43은 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매하였습니다. 그리고 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채우는 식으로 자금 세탁을 하였습니다.

APT43은 사이버 범죄를 통해 북한의 스파이 활동을 지원할 수 있고, 장기간에 걸친 작전에 기꺼이 참여하며, 다른 북한의 스파이 조직과 협력해 왔습니다. 이를 통해 APT43이 북한 정권의 사이버 조직에서 중요한 역할을 하고 있음을 알 수 있습니다.

더 자세한 내용은 보고서 원문을 참조하거나 팟캐스트 또는 웨비나를 통해 확인해 보기 바랍니다. 한글 리포트는 추후 공개 예정입니다.