앵커 :미국의 한 사이버 보안업체는 북한 연계 해킹그룹 'TA444'가 '인증정보 수집' 등 다양한 수법을 활용해 대규모 사이버 공격을 감행할 가능성이 있다고 내다봤습니다. 서혜준 기자가 보도합니다.
미국의 사이버 보안업체 ‘프루프포인트’(ProofPoint)는 25일 북한 정권의 수익 창출을 위해 활동하는 ‘지능형지속위협(APT)’ 해킹그룹 ‘TA444’가 전례없는 방식으로 ‘인증정보 수집 활동(credential harvest campaign)’을 벌이고 있다고 밝혔습니다.
또, 일반적으로 북한의 APT 해킹그룹은 동일한 공격 방법을 반복적으로 사용하는데, TA444는 빠르게 실패하고 빠르게 새 공격 기술 및 방법을 모색하는 등 색다른 활동을 보였다고 설명했습니다.
이 보고서 작성에 관여한 프루프포인트의 알렉시 도레이-존카(Alexis Dorais-Joncas) 사이버위협 연구담당자는 25일 자유아시아방송(RFA)에 “대부분의 APT 해킹그룹은 확실한 방법을 사용하는 것을 선호해, 새로운 기술로 광범위한 공격을 실험하지 않는데 TA444는 이런 기술적 변화를 추구했다”고 말했습니다.
도레이 -존카 연구담당자:저희가 파악하고 있는 TA444의 기존 목적은 (암호화폐 지갑 등을 훔치기 위해) 공격 대상의 시스템을 감염시키는 것인데, 지난 해 12월 목격한 바로는 아이디와 비밀번호 정보를 훔치는 것이었습니다. 이런 (인증정보에 주력하는) 공격은 처음입니다.
그는 이러한 공격의 최종 목적을 판단하긴 어렵지만 이러한 인증정보 수집 활동을 통해 더 많은 정보를 축적한 후 대규모 공격의 발판으로 사용하기 위해서일 수 있다고 추정했습니다.
보고서에 따르면 TA444는 전자우편을 통해 미국과 캐나다의 교육, 정부, 의료, 금융 분야 기관 사람들을 대상으로 분석 자료 또는 대기업 취업공고, 연봉 관련 문서 등을 배포해 악성 문서에 접속하도록 유도했습니다.
도레이-존카 연구담당자는 악성 문서로 정보를 암호화해 복구해주는 대가로 몸값을 요구하는 ‘랜섬웨어’ 공격은 아닐 것이라며, 오히려 정보를 축적해 자산을 훔치는 방식으로 북한 정권에 수익을 창출하려는 것일 수 있다고 분석했습니다.
또 지난 12월부터 이러한 인증정보를 탈취하려는 전자우편의 수가 거시적 규모로 늘었다며 “확실히 그들이 매우 활동적이고 가까운 미래에 다른 공격을 개시할 가능성이 있다는 신호로 본다”고 강조했습니다.
한편 보고서는 TA444가 또 다른 북한 연계 해킹조직 ‘APT38’과 매우 흡사하다고 평가하며, 지난 2016년 북한 해킹그룹이 8,100만 달러를 탈취한 ‘방글라데시 중앙은행 해킹’ 사건과 관련있는 조직이라고 밝혔습니다.
또 2017년부터 암호화폐를 훔치는 것을 목적으로 하는 활동을 이어왔지만, 작년 말부터는 여러 분야의 기관 관계자들의 인증정보를 탈취하기 위한 공격에 주력했다고 강조했습니다.
아울러 TA444 등의 북한 해킹그룹들은 2021년에 4억 달러에 가까운 규모의 암호화폐와 관련된 자산을 빼돌린 것으로 평가되는데, 지난 해에는 이들이 10억 달러 이상을 빼돌리며 수익원을 확대하기도 했다고 보고서는 지적했습니다.
기자 서혜준 에디터 양성원, 웹팀 이경하