• 로그인 회원가입 지면보기 전체기사
 
기사제목 "北해커조직 APT38, 4년간 11개국 은행서 1조원대 탈취 시도"
보내는분 이메일
받는분 이메일

"北해커조직 APT38, 4년간 11개국 은행서 1조원대 탈취 시도"

기사작성 2018.10.04 11:41
최종수정 2018.10.04 11:46
  • 카카오 스토리로 보내기
  • 네이버 밴드로 보내기
  • 페이스북으로 보내기
  • 트위터로 보내기
  • 구글 플러스로 보내기
댓글 0
  • 기사내용 프린트
  • 기사내용 메일로 보내기
  • 기사 스크랩
  • 기사 내용 글자 크게
  • 기사 내용 글자 작게
해킹1.png▲ 파이어아이는 3일 APT38이 '라자루스'로 알려진 북한 해킹그룹의 산하조직으로 북한 정권을 위한 자금 마련 임무를 맡고 있다며 그 실체와 수법을 공개했다. ⓒ 연합뉴스
 
사이버보안업체 파이어아이가 긴급 공개…"확인된 피해만 수천억 원대"

최소 16개 은행 해킹…"2년까지 잠복하며 범행 흔적 없애려 망 파괴도"

(김한경 총괄 에디터)

미국 등 전 세계 11개국의 16개 은행을 해킹해 11억 달러(약 1조2천320억 원)를 빼돌리려 한 북한의 해킹조직 'APT38'이 적발됐다고 미국 사이버 보안업체 '파이어아이'가 3일(현지시간) 밝혔다.

파이어아이의 샌드라 조이스 부사장은 미국 워싱턴 D.C.에서 열린 ‘사이버 디펜스 서밋’에서 “APT38은 전 세계에서 가장 규모가 크고 위협적인 해커 조직”이라며 “이들은 유엔 안보리 대북제재(2013년 3월) 이후 약 1년 뒤인 2014년 2월부터 본격 활동에 들어간 것으로 나타났다”고 말했다.

'라자루스'로 알려진 북한 해킹그룹의 산하조직인 APT38은 북한 정권을 위한 자금 마련 임무를 맡고 있으며, “북한 정찰총국 소속 해킹 연구기관인 ‘110 연구소’가 APT38에 기술지원을 하는 것으로 추정된다”고 파이어아이 관계자는 말했다.

APT38의 소행으로 추정되는 해킹은 2014년 이후 미국, 베트남, 말레이시아, 필리핀 등 최소 11개국 16개 이상의 은행에서 발생했다. 2015년 베트남 TB은행, 2016년 방글라데시 중앙은행, 지난해 대만의 파 이스턴 국제은행, 올해 1월 멕시코의 방코멕스트, 5월 칠레의 방코 데 칠레 등이 대표적인 피해 은행이다.

파이어아이 측이 북한 소행으로 추정한 이유는 평양과 중국의 IP(인터넷 주소)가 APT38의 악성코드에서 발견된 데다, 지난달 미 법무부가 기소한 북한 해커 박진혁이 해킹 프로그램 개발을 도운 흔적이 발견되었기 때문이다.

파이어아이는 APT38이 최소 11억 달러를 탈취하려고 시도했으며, 자료에 기초해 볼 때 최소 수억 달러(수천억 원)의 피해를 확인했다고 말했다.

APT38은 금융기관이라는 특정 대상을 표적 삼아 장기간에 걸쳐 해킹을 시도한다는 점에서 불특정 다수를 광범위하게 공격하는 라자루스의 다른 조직과는 차이가 있다.

APT(Advanced Persistent Threat) 공격은 장기간에 걸쳐 분야별 전문팀이 타깃을 분석한 후 다양한 방법을 사용해 지속적으로 공격하는 지능적인 해킹 수법을 일컫는다. 이런 수법을 사용하는 북한 조직에 미국 보안업계가 APT38이란 이름을 붙인 것이며, 러시아 조직은 APT29, 이란 조직은 APT 33으로 명명되어 있다. 

파이어아이 조사에 따르면, APT38은 최소 몇 달에서 최대 2년에 걸쳐 국제적인 은행 간 송금 시스템인 SWIFT에 잠복하여 은행들의 활동을 살핀 뒤, 악성코드를 설치하고 가짜 거래를 유발하는 수법으로 돈을 빼돌렸다. 그 후 흔적을 없애기 위해 거래내역을 통째로 삭제하거나 시스템을 망가뜨리는 등 전산망을 파괴하는 수법도 썼다.

샌드라 조이스 부사장은 "APT38은 목표물의 복잡한 활동과 내용을 배우는 데 많은 시간을 투자했다"며 "일단 성공하면 나가는 길에 파괴적인 악성코드를 배포해 흔적을 감추고 피해자들이 무슨 일이 일어났는지 알아내는 것을 어렵게 만든다"고 말했다.

그는 “APT38은 이메일 피싱을 포함해 매우 정교한 기술을 사용해 접근 권한을 취득하고, 용이한 송금을 위해 비정부 기구나 재단의 직원 신분을 도용했으며, 어떤 경우에는 SWIFT를 조작하기도 했다”고 설명했다.

조이스 부사장은 "APT38이 여전히 활동하고 있는 것으로 보이며, 어떠한 외교적 노력에도 방해를 받지 않기 때문에 긴급히 위협을 공개하기로 했다"면서 “북한의 재정난이 외교적으로 해결되지 않는 한 금융기관 해킹 시도는 계속될 것”이라고 말했다.
김한경 총괄 에디터 겸 연구소장 khopes58@securityfact.co.kr
이름
비밀번호
자동등록방지
16478
 
주식회사 더시큐리티팩트· 서울시 서초구 반포대로 24길 15, 3층 (서초 중앙빌딩)· 대표번호 : 02-501-6906· 팩스번호 : 02-878-8656문의메일문의메일
대표이사 : 강남욱· 발행인 : 김희철· 편집인 : 이태희· 사업자번호 : 163-88-00857· 정기간행물등록번호 : 서울 아04835· 등록일 : 2017년 11월 11일