라자루스, APT38, 킴수키? 북한 해킹 조직 정리

김정은 사이버전을 만능의 보검이라고 이야기한 바 있습니다. 올해만 확인된 북한 추정 해커의 공격은 열차례가 넘고 아마 확인되지 않는 것은 더 많을 것으로 보입니다.

북한 해커관련된 기사들을 보면 다양한 북한 해커 조직들이 나옵니다. 간단히 제가 조사한 바를 적어 볼까 합니다. 틀리는 부분이 있으면 적절히 지적바랍니다.

우선 북한 해킹조직의 정의는 보안회사마다 다릅니다. 그래서 조직들이 많은 것처럼 보이는데 사실은 몇개 되지는 않는 것으로 보입니다. 

APT38(파이어 아이 정의) = 블루노로프(카스퍼스키 정의, 라자루스 하위 그룹) = 스타더스트 천리마(크라우드스트라이크)

앞이 조직이름, 괄호안이 보안회사 이름입니다. APT38로 하겠습니다. 여기는 전세계 금융기관을 대상으로 해킹을 하는 조직입니다. 소니픽처스를 해킹한 라자루스와 악성코드 리소스를 공유하는 것으로 보이지만 개별 조직으로서 특성을 충분히 갖추고 있다는 평가입니다. 이들은  최소 11개 국가에서 16개 이상의 조직을 대상으로 작전을 펼친 것으로 알려졌습니다. APT38은 작전의 일부로 공격적으로 증거를 인멸하거나 피해 조직의 네트워크를 파괴하는 데 두려움이 없다는 점에서 고유한 특성을 보인다고 합니다. 

APT37=리퍼(팔로알토)=Group123(시스코)=스카크러프트(카스퍼스키)=금성 121(이스트소프트 시큐리티)=레드 아이즈 그룹(안랩)=물수제비 천리마(크라우드스트라이크)

APT37은  주로 한국의 다양한 업종(화학, 전자, 제조, 항공 우주, 자동차 및 의료 등)을 표적으로 삼는 것으로 알려졌습니다. 이 그룹은 제로데이 취약점을 통해 공격의 범위를 확대하고 수준을 높여가고 있습니다. 또한 공격 대상이 북한 정부의 이해관계와 긴밀한 연관성이 있습니다. 한국의 통일, 외교, 안보 관련 인사들, 탈북자, 북한인권 단체, 대북단체등을 대상으로 공격하고 있습니다.

금성121은 공격 아이피 중 일부는 평양시 류경동으로 확인된 적도 있습니다. 

라자루스(카스퍼스키, 트렌드마이크로 정의)=히든코브라(US-CERT 정의)=평화의 수호자(소니 해킹 당시 스스로 공개한 이름) = 안다리엘 + 블루노로프(2017년 금융보안원 정의)

라자루스는 북한 해킹 조직중에 가장 널리 알려진 그룹으로 생각이 됩니다. 2014년 소니픽처스 해킹사건의 배후로 지목이되기도 했었으며 2016년 방글라데시 중앙은행 돈 1억100만달러(약 1167억원)를 훔치기도 했습니다. 물론 중간에 일부 차단되기는 했지만요. 

유엔은 보고서를 통해 북한이 ‘라자루스(Lazarus)’가 암호화폐 해킹 행위를 반복적으로 한국과 일본 거래소 14곳을 해킹했으며 이라고 밝혔으며 피해액은 6억 7천만 달러라고 합니다. 6700억쯤 되지 않을까 싶네요.

김수키=킴수키(카스퍼스키 랩 정의)=한수원 공격그룹

김수키는 2014년 한국수력원자력을 해킹한금성121과 직간접적으로 연계, 관련 단체이거나 동일 단체로 추정됩니다. 최근 한국 외교안보통일 관계자들을 해킹하고 지난해 청와대를 해킹한 것으로 의심되고 있습니다.

 

몇몇자료들을 종합해서 글을 써봤습니다.

잘못된 점이 있다면 알려주세요. 그래야 저도 공부가 되니까요~ㅎ