Not So Lazarus: 정부 기관을 노리는 북한의 여러 사이버 위협 그룹들

Michael Barnhart, Michelle Cantos, Jeffery Johnson, Elias fox, Gary Freas, Dan Scott
Mar 23, 2022
5 mins read

Mandiant는 북한의 사이버 역량이 금전적 목표뿐만 아니라 장기적이거나 바로 적용되는 단기적 정치 및 국가 안보 우선순위도 지원하고 있다고 생각합니다. 당사는 첩보 활동, 파괴적 공격, 금융 범죄를 포함한 대부분의 북한의 사이버 공격이 주로 정찰총국 내 단체에 의해 행해진다고 판단하고 있습니다. 한편, 국가보위부 및 통일전선부의 임무는 북한의 사이버 프로그램에서 한정된 역할을 하는 것으로 나타났습니다. 오픈소스 보고서에서 Lazarus 그룹은 북한의 수많은 사이버 공격자를 포괄적으로 지칭하는 경우가 많지만, 이 비밀스러운 은둔 국가의 다양한 기관들을 파악하고 그들이 어떤 식으로 발전해왔고 자원을 공유하는지 이해하는 것은 조직이 이러한 유형의 위협을 사전에 방어하는 데 도움이 됩니다. Mandiant는 북한의 정보기관이 국가의 필요에 따라 사이버 조직을 구성할 수 있는 유연성과 탄력성을 갖추고 있다고 판단합니다. 또한 북한발 사이버 공격들에서 인프라, 멀웨어 및 전술, 기술과 절차가 중복된다는 것은 그들이 자원을 공유하고 있다는 의미입니다.

그림 1은 다양한 공개 출처 정보(Open Source Intelligence), 표적 설정 패턴, 멀웨어 사용 및 탈북자 보고서에서 평가된 사이버 조직도이며, 이는 북한 사이버 계급 내에서 변화가 일어나고 있음을 일부 시사하고 있습니다.

Assessed cyber structure of DPRK cyber programs
Figure 1: Assessed cyber structure of DPRK cyber programs

통일전선부

UFD는 조선 노동당 중앙위원회가 후원하는 조직입니다. 이 조직은 잘 알려진 ‘사이버 범죄자’에 속하지 않은 공격 단체들로 구성되어 있지만, 한국을 표적으로 한 친북 체제 선전에 중점을 두고 있으며, 이를 통해 그들의 주요 지정학적 경쟁자를 약화시킬 가능성이 있습니다. UFD는 일반적으로 웹 포럼뿐 아니라 한국을 표적으로 하는 전단이나 라디오 방송 같은 전통적인 선전 작업으로 친북 메시지를 홍보하기 위해 ‘사이버 트롤 군대’를 포함한 온라인 정보 작전을 활용하고 있습니다.

이들 ‘사이버 트롤’은 지난 2년간 온라인상에서 한국인 사용자 계정을 탈취하고 한국에 북한의 정치적 메시지를 퍼트리기 위해 웹 포럼과 다양한 댓글 코너에 약 68,000개의 선전물을 게시한 것으로 알려져 있습니다. 이 조직의 최종 목표는 한국 내에 친북 단체를 수립하는 것입니다. 

국가보위부

MSS는 정부의 자치 기관으로 운영되는 북한의 주요 방첩 부서이며, 국내 방첩 활동 및 해외 방첩 활동을 담당합니다. APT37의 이전 캠페인은 해외 합작 파트너를 대상으로 하고 있으며 탈북자, 탈북자 지원 기관 및 인도주의 단체에 대한 위협 활동이 MSS의 목표와 일치한다고 볼 수 있습니다.

  • 확인된 APT37 주 임무는 북한의 군사 전략, 정치, 경제적 이익에 유리한 첩보를 은밀히 확보하는 것입니다. 최근 APT37의 중요한 활동이 줄어들고 또 다른 해킹 단체인 ‘Kimsuky’가 비슷한 활동을 벌이고 있는 것은 북한 사이버 지도부의 변화 또는 통합을 의미할 수 있습니다.

정찰 총국: 개요

정찰총국(RGB)은 정보 수집과 은밀한 작전을 담당하는 북한의 주요 해외 정보 기관입니다. 정찰총국은 다음과 같은 6개 사무국으로 구성되어 있습니다.

  • 1국:  작전국
  • 2국:  정찰국
  • 3국:  해외정보국
  • 5국:  대화조정국
  • 6국:  기술국
  • 7국:  지원국 

참고로, 4국이 존재하지 않는 것은 숫자 ‘4’를 금기로 여기기 때문일 가능성이 있습니다.

사이버 활동은 조직의 전반적인 작전의 일부분이지만 3국(해외정보국)과 5국(대화조정국)은 북한 사이버 프로그램의 ‘핵심’을 보유하고 있다고 할 수 있습니다.

정찰총국: 3국 산하에 있는

110 연구소…Lazarus 그룹의 중심

TEMP.Hermit, APT38, Andariel은 110 연구소에 속해있을 가능성이 있습니다. 110 연구소는 북한의 주요 해킹 단체로 알려진 ‘121국,’이 확장되어 재구성된 조직입니다. 110 연구소에는 ‘Lazarus 그룹’으로 알려진 조직과 밀접하게 연관된 요소가 있습니다. 오픈 소스 보고서에서는 Mandiant가 개별적으로 추적하고 있는 수많은 집단을 Lazarus라고 포괄적으로 명명합니다. TEMP.Hermit이 Lazarus 그룹 리포팅과 가장 자주 연관되어 있긴 하지만, 연구원이나 오픈 소스에서는 이 3개의 공격 단체, 때로는 북한의 모든 APT까지를 포함하여 ‘Lazarus 그룹’이라고 통칭하기도 합니다.

  • 110 연구소는 여러 지역들 중 역사적으로 중국 북동부에 거점을 둔 위장 회사로 운영되어 왔습니다. 이전에 확인된 위장 회사에는 대련의 조선수출합작회사와 선양의 조선백설무역회사가 포함되어 있습니다.
  • TEMP.Hermit은 적어도 2013년부터 존재해 온 공격자입니다. 그 이래로 이들은 대표적으로 북한의 이익을 위해 전략 정보를 수집하는 활동을 해왔습니다. 이 공격자는 정부/공공기관, 국방, 통신 및 금융기관을 표적으로 하며 ‘Lazarus 그룹’이라는 용어는 이 집단의 활동에 가장 많이 언급됩니다. 
  • APT38 은 북한이 후원하는 자금 탈취 해킹 그룹으로, 상당한 재정적 침해와 금융기관에 파괴적인 멀웨어를 사용하는 것으로 유명합니다. 이 그룹은 Interbank Fund Transfer Systems(은행간 자금 이체 시스템)을 표적으로 하는 정교한 침해에 참여하여 전 세계 여러 국가에서 동시에 수백만 달러를 탈취했습니다.
    • 주로 금전적 활동에 중점을 둔 APT38 하위 그룹을 오픈 소스에서는 ‘CryptoCore’ 또는 ‘Dangerous Password’라고 합니다.
  • Andariel은 해외 기업, 정부/공공기관, 금융 서비스 인프라, 민간 기업 및 사업, 방위 산업에 공격을 집중하고 있습니다. 또한 이 그룹은 이 공격자의 특징적인 멀웨어 활동에서 관찰된 바와 같이 북한 정권의 추가 수입원으로 사이버 범죄를 행하고 있으며 군대 및 정부 직원을 주요 표적으로 삼는 것으로 보입니다.
  • 325국은 코로나19(COVID-19) 팬데믹에 대한 대응으로 정찰총국(RGB)의 구조가 변경되며 2021년 1월 공개적으로 발표되었습니다. 이 신규 부서는 코로나19 연구 및 제조 조직에 대한 정보 수집 작전을 주로 수행하는 것으로 나타났습니다. 탈북자 보고서에 따르면 2021년 1월까지도 이 부서는 완전하게 운영되지는 않은 것으로 알려졌습니다. 시간이 지남에 따라 그들이 수행한 작업의 공유와 ‘비코로나19’ 유형의 활동이 관찰되었으며, 이는 이 공격자가 탈북자 보고서에서 말했던 “…이 그룹은 곧 ‘완전한 규모’의 작전을 시작할 것이다”라는 마일스톤에 가까워질 수 있음을 나타냅니다. 새롭게 조직된 325국에는 북한 코로나19에 중점을 둔 부서가 있으며 오픈 소스에서 ‘CERIUM’으로 추적되는 활동에 해당합니다. 우리는 TEMP.Hermit과 Kimsuky를 포함하여 이전에 추적된 여러 집단들의 개인들도 북한 지도부의 최우선 작전에 대응하기 위해 325국에 참여했다고 생각합니다.
    • 시간이 흐르면서 우리는 이 단체가 ‘엄격한 코로나19’ 활동에서 탈북자, 국방 및 정부/공공기관, 블로거, 언론, 암호화폐 서비스, 금융기관을 대상으로 활동을 전환하는 것을 확인할 수 있었습니다.  이들이 담당하는 활동이 많아졌다는 것은 이 그룹이 빠르게 북한 고위 지도부의 신뢰를 얻었으며 두각을 나타냈다는 것을 의미합니다. 보안 전문가들은 통제되지 않은 더 많은 캠페인에서 325국의 특징들을 확인하게 될 것입니다. 

정찰총국: 5국

한반도 문제와 관련하여 UFD의 사이버 요소가 이익을 공유하고 APT37과 표적 설정이 중복되는 경우가 있지만, 이러한 추가 요소는 5국의 전반적인 임무를 보완하는 것으로 나타나고 있습니다. 

  • Kimsuky는 공개 출처 정보(Open Source Intelligence)에서 북한의 이익에 영향을 미치는 지정학적 사건과 협상에 대한 전략 정보를 수집하기 위해 표적 캠페인 활동을 수행하는 공격자로 통칭하는 경우가 많습니다. 이 공격자는 주로 국방 및 보안, 특히 핵 안보 및 비확산 정책에 대한 주제 전문성을 보유하고 있는 정부/공공기관, 군, 제조, 학계 및 씽크 탱크 조직에서 일하는 개인을 포함한 미국과 한국의 조직을 표적으로 합니다. 이러한 공격자의 활동에는 특히 한국의 학계, 제조, 국가 안보 산업에서 금융 정보, 개인 정보, 고객 정보를 수집하는 것이 포함됩니다. 가장 가능성 높은 이유는 사이버 스파이 작전을 위한 추가 인프라를 구축하거나, 피싱 캠페인에 페르소나를 활용하거나, ID 도용 및 사기 행위를 목적으로 하기 위해서입니다.

결론

북한의 스파이 작전은 현재 암호화폐 탈취를 통한 재정 자원 확보, 언론, 뉴스 및 정치 단체 표적 설정, 대외 관계 및 핵 정보, 그리고 한 때 급증했다가 약간 감소한 코로나19 백신 연구 탈취에 중점을 두고 있는 북한 정권이 당면한 문제와 우선순위를 반영하고 있다고 판단됩니다. 이러한 캠페인에서 수집된 정보는 백신, 제재를 우회하기 위한 완화 조치, 국가의 무기 프로그램에 대한 자금 지원 등과 같은 내부 아이템과 전략을 개발하거나 생산하는 데 사용될 가능성이 있습니다. 이들은 추가 정보를 계속해서 수집하여 작전 범위를 결정하고 작전의 효율성을 높입니다. 북한 지도부의 숨겨진 의도를 알 수 있고 실제 단체에 맞는 표적 설정 패턴을 파악할 수 있다면 이러한 사이버 공격자를 사전에 방어할 수 있습니다. 이러한 노력은 외부 세계에 거의 알려지지 않은 나라일 경우 매우 중요하며, 사이버 작전으로 보완된 탈북자 보고서가 도움이 될 수 있습니다.