맨디언트 "北해커조직 '325국' 급부상, 공격 대비해야"

by김국배 기자
2022.03.25 19:40:22

"북한 사이버 공격의 '스위스 군용 칼'" 평가
"코로나 백신 정보 취득 시도부터 암호화폐 갈취, 핵 거래 비밀 탈취까지"

[이데일리 김국배 기자] ‘325국(Bureau325)’라 이름 붙은 북한 해커 조직의 사이버 공격이 늘고 있어 주의가 필요하다는 경고가 나왔다.

맨디언트는 23일(현지시간) 북한 사이버 공격 조직의 구조를 분석해 블로그에 공개했다. 맨디언트는 최근 구글에 54억달러(약 6조6400억원)에 인수된 사이버 보안 회사다.

특히 맨디언트는 “북한 사이버 공격의 ‘스위스 군용 칼’이라 불리며 최근 급부상한 공격 그룹”이라며 ‘325국’ 조직을 조명했다. 그만큼 기술과 역량이 뛰어나단 의미다.

(사진=맨디언트)


맨디언트에 따르면 이들은 단기간에 크게 진화했다. 코로나19 백신 정보 취득 시도부터 암호화폐 갈취, 핵 거래 비밀 탈취에 이르는 왕성한 활동을 벌이는 중이다. 마이클 반하트 맨디언트 수석 애널리스트는 “325국이 북한의 새로운 ‘올스타팀’”이라며 “그룹 내에서 각각의 고유한 전문성을 가진 다양한 하위 집단을 조직할 것으로 예상한다”고 말했다.



맨디언트는 325국이 북한 정보기관이 정찰총국 제3국 소속일 것으로 분석했다. 325국이 처음 세상에 공개된 건 지난해 1월이다.

제3국 휘하에는 정부·국방기관을 노리는 ‘템프 허밋(TEMP.Hermit)’, 금융기관을 겨냥하며 파괴적 악성코드를 사용하는 것으로 유명한 ‘APT38’, 외국기업과 방위 산업을 노리는 ‘안다리엘’ 등이 포진하고 있다. 이 세 개 조직은 110실(Lab 110) 소속이다. 110실은 북한의 주력 해킹 부대로 알려진 121국이 확대 개편된 조직일 가능성이 높다.

군, 제조, 학계, 싱크탱크 조직에서 일하는 개인을 노리는 ‘김수키’는 정찰총국 제5국 산하에 있다. 북한 사이버 공격의 대부분은 정찰총국에서 수행하며, 국가안전보위부와 통일전선부의 임무는 제한된 역할을 한다는 게 맨디언트의 판단이다.

반하트 수석 애널리스트는 “325국이 점차 사이버 공격을 늘려가고 있는 만큼 모든 조직은 이들의 공격에 방어하고 대비하는 법을 익혀야 할 것”이라고 했다.