파이어아이는 APT38이 ‘라자루스’라는 북한 해킹 그룹의 산하 조직으로 경제 제재로 수입이 줄어든 북한 정권을 위해 자금 마련 임무를 맡고 있다고 말했다.
파이어아이에 따르면 금융 범죄를 주로 맡는 APT38과 해킹과 간첩 활동을 하는 라자루스와 TEMP헤르밋이 3축으로 연결돼 움직인다.
이 중 APT38은 2014년부터 미국, 베트남, 말레이시아, 필리핀 등 최소 11개국 16개 이상의 은행을 해킹한 것으로 알려졌다. 2015년 베트남 TB뱅크, 2016년 방글라데시뱅크, 지난해 대만 파이스턴인터내셔널뱅크, 올해 멕시코 방코멕스와 칠레 방코데칠레 등이 피해를 본 대표적인 은행들이다.
파이어아이는 APT38이 최소 11억 달러를 훔치려고 했으며, 자료들을 종합해 볼 때 최소 수억 달러의 피해가 발생했다고 설명했다.
APT38은 북한 내 다른 해킹 조직들과 정보를 공유하면서 오랜 시간에 걸쳐 범행 대상으로 삼은 은행에 은밀하게 접근한다.
이들은 최소 몇 달에서 최대 2년여에 걸쳐 국제 은행 간 송금 시스템(SWIFT)을 통해 은행들의 활동을 지켜본 뒤, 악성코드를 설치하고 가짜 거래를 유발하는 방식으로 돈을 빼돌렸다. 이후에는 거래 내용은 전부 삭제하고 시스템을 무너뜨려 피해자들을 혼란에 빠트린다.
샌드라 조이스 파이어아이 부사장은 “APT38은 목표로 하는 조직의 복잡한 구조와 활동을 조사하는 데 많은 시간을 투자했다”며 “성공하고 나면 빠져나가는 과정에서 파괴적인 악성 코드를 배포해 흔적을 분산시키고 피해자들이 무슨 일이 일어났는지 파악하는 것을 어렵게 만들었다”고 설명헀다.
또 APT38이 이메일 피싱 등 정교한 기술을 사용해 접근 자격을 얻고, 편리한 송금 시스템을 위해 비정부기구의 직원 신분을 도용했으며, 심지어는 SWIFT를 조작하기도 했다고 밝혔다.
조이스 부사장은 이어 “APT38은 여전히 활동 중인 것으로 파악되며 어떤 외교적 규칙에도 아랑곳하지 않기 때문에 긴급하다고 생각했다”며 정보 공개 이유를 덧붙였다.