[디지털데일리 이종현기자] “맨디언트는 매년 세계 각국이 사이버위협에 얼마나 노출돼 있는지에 대한 점수를 책정한다. 2022년 기준 1위는 미국이고 2위는 우크라이나다. 그리고 한국은 3위다. 상당히 높은 사이버위협에 직면해 있다고 볼 수 있다.”(루크 맥나마라 맨디언트 수석 애널리스트)

29일 맨디언트는 자사가 추적 중인 북한 해커조직 APT43에 대한 최신 동향을 공유하는 기자간담회를 개최했다. 맨디언트는 구글클라우드가 작년 54억달러에 인수한 사이버위협 인텔리전스 기업으로 해커조직에 대한 추적과 전문 컨설팅 등을 제공하는 기업이다.

맨디언트가 명명한 APT43은 국내에서는 김수키 또는 탈륨이라는 이름으로 익숙한 조직이다. 한국 정부가 세계 최초로 대북 독자제재 대상에 올린 곳이기도 하다.

루크 맥나마라(Luke McNamara) 맨디언트 수석 애널리스트는 북한은 각각의 특색을 지닌 여러 해커조직을 운영하고 있다고 전했다. 암호화폐를 타깃으로 한 외화벌이에 집중하는 라자루스나 탈북자 또는 탈북자 지원 단체에 대한 활동을 주로 하는 APT37 등이 대표적이다.

이중 APT43은 각종 정보를 수집하는 역할에 집중하는 성향을 보인다는 것이 그의 설명이다. 맨디언트는 올해 3CX, 점프클라우드 등 정보기술(IT) 서비스를 제공하는 기업을 타깃으로 공격을 수행한 해커조직의 정체가 APT43일 것이라고 의심하고 있다. 서비스를 제공받는 기업을 노리는 ‘공급망 공격’의 일환이다.

그는 “지난달 발생한 점프클라우드 공격 사례에서 활용된 악성코드는 과거 북한 공격자가 사용했던 악성코드와 일치했다. 또 공격 과정에서 일시적으로 가상사설망(VPN)을 사용하지 않고 시스템에 접근한 일이 있었는데 그때 인터넷프로토콜(IP) 주소가 평양으로 나타났다. 통상 공격자들은 피해 기업들에게 악성코드를 심은 뒤에는 다른 라우터를 통해 접근하는데 마지막 단계에서 실수를 한 것으로 보인다”고 말했다.

맥나마라 애널리스트는 최근 APT43이 대규모언어모델(LLM)에도 관심을 보이는 중이라고 밝혔다. 구체적인 활용 방향성은 파악하지 못했지만 LLM 서비스에 접근하고 있는 모습이 포착됐다는 설명이다. 인공지능(AI)으로 가자 이미지나 영상을 제작하거나, 피싱을 위한 정교한 텍스트를 생성하는 등의 활동이 우려되는 대목이다.

AI는 방어자 입장에서도 유용하게 활용되고 있다. 시스템 고도화를 통해 위협 그 자체를 빠르게 탐색‧대응할 수 있도록 하거나, 단순 반복적입 업무를 AI에 맡기거나 AI를 통해 전문성이 떨어지는 인력이라고 하더라도 통상적인 보안 업무를 수행하는 등, 사이버보안 산업계가 만성적으로 겪고 있는 인력 부족 문제를 해결하는 데 활용되고 있다.

맨디언트가 내부에서 각국에 대한 위협을 조사하는 사이버위협 스코어에서 한국은 2022년 미국, 우크라이나에 이어 3위에 올랐다. 우크라이나가 전쟁 중임을 고려하면 사실상의 2위다. 중국, 러시아는 조사에서 빠졌다.

맥나마라 애널리스트는 앞으로 랜섬웨어나 데이터 유출이 결합된 다각적 갈취가 기승을 부릴 것이라고 전망했다. 또 제로데이 악용, 아이덴티티 위협 등도 기승을 부릴 것으로 예상했다.