전 세계 사이버 테러 목표… ‘北 비밀 해커 조직’ 드러났다

APT37, 최소 2012년부터 활동
기존 ‘래저러스’의 하부조직

전략·기술 매우 첨단화
인터넷망 없어도 문서 빼내

북한이 전 세계를 위협할 만한 사이버 테러 능력을 은밀하게 키우고 있었다는 구체적 정황이 드러났다. 여태 베일에 싸여 있던 해커 조직이 가동돼 남한뿐 아니라 전 세계를 공격 대상으로 삼아 왔다는 설명이다. 일각에서는 이들이 인터넷망에 연결돼 있지 않은 정보까지도 해킹할 능력을 갖췄다고 보고 있다.

미국 CNBC방송에 따르면 미 사이버보안 업체 파이어아이는 20일(현지시간) 낸 보고서에서 북한의 해커 조직 ‘APT37’이 존재하며 이들이 대규모 사이버 테러를 위해 해킹 기술을 향상시켜 왔다고 밝혔다.

리퍼(Reaper)로도 불리는 APT37은 기존에 스카크러프트(Scarcruft), 그룹123(Group123)으로 알려진 이들과 동일한 조직일 가능성이 높다.

CNBC는 또 다른 업체 크라우드스트라이크의 보고서를 인용해 APT37이 기존에 널리 알려진 북한의 해커 조직 ‘래저러스(Lazarus)’의 3개 하부조직 중 하나라고 설명했다. 래저러스는 2014년 소니픽처스, 2016년 미국 연방준비제도(Fed)의 방글라데시 중앙은행 계좌 해킹 사건으로 유명하다.

크라우드스트라이크에 따르면 APT37은 래저러스 내에서 ‘미로 천리마(Labyrinth Chollima)’로 불린다. 이 외 래저러스의 다른 2개 하위조직은 ‘침묵의 천리마(Silent Chollima)’와 ‘별똥 천리마(Stardust Chollima)’다. 침묵의 천리마는 파괴적 공격을 담당하며, 별똥 천리마는 주로 금융 시스템을 해킹해 돈을 훔친다.

파이어아이에 따르면 APT37은 최소 2012년부터 활동해 왔다. 남한을 최우선 공격 지역으로 삼았지만 지난해부터는 일본과 베트남, 중동 등도 공격했다. 화학, 전기, 제조업을 비롯해 항공, 자동차와 헬스케어 등 공격 대상이 된 산업 분야도 다양했다. 이들은 주로 정보를 빼내는 활동에 집중했으며 해킹에 사용하는 멀웨어(악성 프로그램)도 끊임없이 바꿨다. CNBC는 “이들이 쓰는 멀웨어는 인터넷망에서 물리적으로 차단되거나(air-gapped) 네트워크에 연결되지 않은 문서도 빼낼 수 있다”고 전했다.

조효석 기자 promene@kmib.co.kr