북한 사이버 공격 그룹 'APT38'이 그동안 세계 금융기관에서 약 11억달러(1조2320억원) 규모 약탈을 시도했다. 베트남 티엔퐁 은행, 칠레은행 등 금융기관을 공격했다. 이들은 최대 2년간 사전 조사를 벌였다.
파이어아이는 3일(현지시간) 미국 워싱턴.D.C 힐튼호텔에서 '파이어아이 사이버 디펜스 서밋 2018'을 열었다. 파이어아이는 전술·기술·절차(TTP)를 분석해 APT38이 북한 정권 지원을 받는다고 밝혔다.
미국법무부(DOJ)에 따르면 북한 사이버 공격은 이메일 계정, 인프라뿐 아니라 공격에 활용한 악성코드를 공유한다. APT38은 악성코드 개발 과정에서 북한 정부가 지원하는 해커조직 '템프허밋(TEMP.Hermit)' 등과 협업했다. 동일 지메일 계정이 발견됐다. 최초 IP발생지역도 북한 평양이었다.
파이어아이는 베트남 티엔퐁 은행(2015년 12월), 방글라데시 중앙은행(2016년 2월), 대만 원동국제상업은행(2017년 10월), 멕시코 공적수출신용기관 방코멕스트(2018년 1월), 중남미 민영은행 칠레은행(2018년 5월) 등을 APT38 소행으로 결론냈다.
산드라 조이스 파이어아이 글로벌 인텔리전스운영 부사장은 “APT38은 2014년 이후 11개 국가에서 16개가 넘는 기관을 공격했다”면서 “풍부한 자원을 바탕으로 광범위한 공격을 했으며 여전히 활동이 활발하다”고 설명했다.
APT38은 국제은행 간 자금결제 통신망(스위프트·SWIFT)을 악용한다. 이들은 연계 회사, 내부 직원 등을 통해 공격 대상 시스템 정보를 수집한 뒤 취약점(아파치 스트러츠2) 공격 등으로 내부 시스템에 접근한다. 이후 스위프트 전체 시스템 구성을 파악 후 백도어 등을 만들어 자금을 탈취한다. 증거 인멸을 위해 로그를 삭제하고 디스크 파괴, 악성코드 배포로 포렌식 분석을 방해했다.
파이어아이는 APT38 공격이 앞으로도 계속될 것으로 전망했다. 최근 보안의식이 증가하고 있지만 이들은 대규모 네트워크를 동원해 새로운 공격방식을 시도할 것이라는 설명이다.
조이스 부사장은 “APT38은 돈을 움직이거나 세탁까지 가능한 그룹”이라면서 “스위프트에 대한 정보 수집이 지속돼 새로운 수법을 시도할 것”이라고 말했다.
워싱턴D.C(미국)=
정영일기자 jung01@etnews.com