北해킹조직, 레이저 무기 기술도 빼갔다…접속지는 평양 류경동

중앙일보

입력

업데이트

북한 해킹조직이 국내 방산업체 등을 해킹해 중요 기술자료를 탈취한 것으로 나타났다. 서울경찰청 안보수사지원과는 미 연방수사국(FBI)과 공조 수사를 벌인 결과, 북한 해킹조직 ‘안다리엘’(Andariel)이 지난해 중순부터 국내 방산업체·연구소·제약업체·대기업 자회사 등 14개 기관의 서버를 해킹해 레이저 대공 무기 등 중요 기술자료와 서버 아이디·비밀번호 등을 탈취했다고 4일 밝혔다. 경찰에 따르면 탈취된 기밀 자료는 총 1.2테라바이트(TB) 규모로 풀HD급 영화 230편 분량이다.

안다리엘은 신원이 명확하지 않은 가입자에게도 서버를 임대해주는 국내 서버임대 업체를 이용해 기업체 정보에 접근한 것으로 나타났다. 경찰이 해킹 사실을 통보할 당시, 대다수 업체는 피해를 인지조차 못한 상태였다. 기업 신뢰도 하락을 우려해 경찰에 피해 신고를 하지 않은 곳도 있었다. 경찰 관계자는 “아직 수사가 진행 중이라 구체적인 해킹 수법은 공개하기 어렵다”며 “탈취 기술 활용 여부까지는 확인하지 못했다”고 말했다.

북한 해킹조직 안다리엘이 지난해 중순부터 국내 방산업체 등 14개 기관으로부터 1.2테라바이트 분량의 중요 기술자료를 탈취한 사실이 FBI와 공조한 경찰 수사에서 드러났다. 이들은 신원이 확인되지 않은 가입자에게도 서버를 임대해주는 국내 업체가 제공한 서버를 거점 삼아 감시망을 따돌렸다. 사진 서울경찰청

안다리엘은 군사 정보 탈취에 특화된 해킹 조직이다. 2019년 미 재무부가 ‘라자루스 그룹’, ‘블루노로프’ 등과 함께 북한 정부의 지원을 받는 3대 해킹 조직으로 특별 제재 대상에 올리며 존재가 처음 알려졌다. 이번에도 FBI가 안다리엘의 한국 사이버 공격 흔적을 먼저 발견해 올해 초 서울경찰청과 공조수사를 진행하면서 범행이 드러났다. 경찰 관계자는 “FBI는 국내 기업에 관한 수사권이 없고, 반면 국내 수사기관은 구글 등 해외 기업으로부터 협조를 받기 어렵기 때문에 공조는 필수적”이라고 설명했다.

북한 소행으로 특정할 수 있는 단서는 IP주소 추적 과정에서 나왔다. 해커가 사용한 구글 이메일 계정을 조사한 결과, IP주소의 소재가 ‘조선민주주의인민공화국 평양 류경동(柳京洞)’으로 나타나서다. 지난해 12월부터 올해 3월까지 총 83회 접속한 흔적이 남았다. 류경동은 북한 최고층 건물인 류경호텔과 류경 정주영체육관 등이 위치해 평양 시내 명소로 꼽히는 지역이다. 평양정보센터와 국제통신 등도 자리하고 있다.

경찰은 북한 해킹조직의 범죄수익금 중 일부가 북·중 접경지역인 단둥의 한 은행 지점에서 출금된 사실을 확인하고, 이에 연루된 외국인 여성 A씨를 수사 중이다. 사진 서울경찰청

경찰은 안다리엘이 과거 확보한 범죄수익금 일부가 북한으로 흘러 들어간 정황도 추가로 포착했다. 안다리엘은 컴퓨터 시스템 마비시키는 악성 프로그램인 랜섬웨어(Ransomware)를 심은 뒤, 재사용을 대가로 돈(Ransom·몸값)을 요구하며 2021년부터 올해 4월까지 국내외 기업 3곳에서 4억7000만원 상당의 비트코인을 받았다. 경찰은 국내외 거래소 거래내역을 분석해 자금흐름을 추적한 결과, 이 돈 가운데 일부가 국내에 거주하는 외국인 여성 A씨의 계좌를 거쳐 북한으로 흘러 들어간 정황을 포착했다.

경찰에 따르면, 약 63만 위안(약 1억1000만원)이 2021년과 2022년 두 차례에 걸쳐 중국 랴오닝(遼寧)성 소재 K은행 A씨 계좌로 송금됐다. 이후 이 돈은 북·중 접경지역에 위치한 K은행 지점에서 출금됐다. 경찰은 국내 거주 중인 A씨를 안다리엘의 공범으로 보고 올해 7월 정보통신망법 위반 혐의를 적용해 입건했다. 경찰은 A씨의 계좌·휴대전화·주거지 등을 압수수색해 확보한 5만여 건의 파일을 들여다보며 A씨와 안다리엘의 연관성을 확인 중이다. 다만 A씨는 “과거 홍콩 소재 환전업체 직원으로 근무할 당시, 업체 요청으로 계좌를 제공한 것일 뿐”이라며 혐의를 부인하고 있다.