▲ [사진=뉴시스]

김수키(Kimsuky) 또는 탈륨(Thalium)으로 알려진 북한 공격그룹 APT43이 사이버 범죄를 통해 북한 첩보 작전에 필요한 자금을 조달하고 있는 것으로 확인됐다.  APT43은 암호화폐를 훔쳐 자금 세탁했으며, 이를 통해 사이버 위협 활동에 필요한 중앙 정부의 재정 부담을 줄였다.

글로벌 사이버 보안 기업 맨디언트는 북한의 공격 그룹 APT43을 분석한 보고서를 4일 발표했다. 맨디언트는 2018년 이후 이 공격 그룹을 추적해왔다.

맨디언트에 따르면 APT43의 표적은 대한민국, 일본, 유럽, 미국 같은 지역에 집중돼 있었다. 이들 지역에 있는 정부, 비즈니스 서비스 및 제조업과 함께 지정학적 정책 연구를 하는 기관 및 싱크 탱크가 공격 그룹의 주요 타깃이었다. 또한, 이 공격 그룹은 2021년 동안 북한의 전염병 대응을 위한 일환으로 건강 관련 업종으로 공격의 초점을 옮기기도 했다.

APT43은 사회공학적 기법을 동원하기 위해 수많은 스푸핑 및 사기 페르소나를 만들었다. 그리고 외교나 국방 부문에 몸담고 있는 개인으로 가장하고 도난당한 개인 식별 정보(PII)를 활용해 계정을 만들고 도메인을 등록했다. 또한, APT43은 운영 도구 및 인프라 구매를 위해 위장 신분을 만들기도 했다.

APT43은 훔친 암호화폐로 깨끗한 암호화폐를 채굴했다. APT43은 피해자 지갑에서 암호화폐를 훔친 다음 이를 사용해 해시(Hash)를 렌탈하거나 클라우드 마이닝 서비스에서 해시 파워(Hash Power)를 구매했다. 그리고 구매한 해시 파워로 도난당한 암호화폐와 연결되지 않은 깨끗한 지갑에 다른 암호화폐를 채굴해 채웠다.