[디지털투데이 추현우 기자] 북한 해커가 클라우드 채굴 서비스를 이용해 훔친 암호화폐를 청소하고 있다는 보고가 나왔다.

29일(현지시간) 디크립트 등 외신에 따르면, 구글 계열사인 사이버 보안회사 맨디언트(Mandiant)는 북한의 새로운 해커 그룹인 APT43에 대한 보고서를 발표했다. 

APT43은 외국 정부기관이나 연구기관을 대상으로 한 해킹뿐만 아니라 해킹으로 확보한 암호화폐를 세탁하기 위해 클라우드 채굴 서비스까지 이용하고 있는 것으로 밝혀졌다.

맨디언트 보고서는 2018년부터 APT43을 추적해 왔으며 APT43이 북한의 대외 정보기관인 조선인민군 정찰총국에 속하는 것으로 파악하고 있다고 전했다.

보고서는 APT43의 주된 목표가 미국 정부와 군부대, 방위산업 관련 기업, 그리고 학술기관과 씽크탱크 등 연구기관이라고 설명했다. 아울러 비교적 보안이 허술한 한국의 비영리 단체나 대학, 기업 역시 주된 해킹 표적인 것으로 파악된다. 코로나19 팬데믹 기간에는 주요 헬스케어 기업과 제약회사 역시 이들 해커 그룹의 표적이 된 것으로 알려졌다.

APT43은 해킹으로 탈취한 암호화폐 등 자금 확보와 함께 이를 송금하고 돈세탁하는 과정에도 관여하고 있다고 맨디언트 보고서를 밝혔다. 최근에는 암호화폐 대출을 받으려는 중국인을 표적으로 가짜 안드로이드 앱을 만들어 유포하는 등 활동 범위가 넓어지고 있다고 분석한 것.

또한 APT43은 탈취한 암호화폐의 출처를 지우기 위한 자금 세탁도 진행하는 것으로 보인다. 별도의 클라우드 채굴 서비스를 이용하거나 일부 암호화폐 채굴 기업과 불법적인 계약을 통해 탈취한 암호화폐를 정상적으로 채굴한 암호화폐인 것처럼 변환하는 수법을 쓰고 있다는 분석이다.

아울러 APT43은 암호화폐 거래소나 암호화폐 거래 플랫폼을 해킹하던 초기 수법에서 벗어나 근래에는 주로 개인 사용자를 노리는 것으로 확인됐다. 

이에 대해 맨디언트의 수석 분석가인 마이클 번하트는 "하나의 큰 대상을 공격하는 것보다 수백 명에서 수천 명의 개인에게 가하는 분산 공격이 추적하기가 더 어렵다"면서 "암호화폐 개인 투자자도 보안에 대한 세심한 주의가 필요하다"고 조언했다.
 

△디지털투데이 텔레그램 뉴스채널 구독하기(클릭)