북 해킹조직, 방산업체 레이저 무기 기술 빼갔다

북한 해킹 조직이 국내 방산업체 등을 해킹해 중요 기술자료를 탈취한 것으로 드러났다.

4일 서울경찰청 안보수사지원과는 “북한 해킹 조직 ‘안다리엘’이 지난해 중반부터 국내 방산업체·연구소·제약업체·대기업 자회사 등 14곳의 서버를 해킹해 레이저 대공 무기 등의 중요 기술자료와 서버 아이디·비밀번호 등을 탈취했다”고 발표했다. 탈취된 기밀자료는 1.2테라바이트(TB) 분량이다. 경찰은 미 연방수사국(FBI)과 공조 수사를 통해 이번 범죄를 밝혀냈다.

경찰에 따르면, 안다리엘은 신원이 불분명한 가입자에게도 서버를 빌려주는 국내의 서버 임대업체를 이용해 기업체 정보에 접근했다. 경찰이 해킹 사실을 통보할 당시 대다수 업체는 피해 여부조차 인지하지 못한 상태였다. 일부 업체는 신뢰도 하락을 우려해 신고하지 않은 것으로 나타났다. 경찰 관계자는 “(북한이) 탈취한 기술을 활용했는지는 확인하지 못했다”고 말했다.

북한의 소행임을 특정할 수 있었던 단서는 인터넷 프로토콜(IP) 주소 추적 과정에서 나왔다. 해커가 사용한 구글 e메일 계정의 IP 주소 소재가 평양의 류경동으로 나타난 것이다. 지난해 12월부터 올해 3월까지 총 83회 접속한 흔적이 남았다.

안다리엘은 군사 정보 탈취에 특화된 해킹 조직이다. 2019년 미 재무부가 ‘라자루스 그룹’ ‘블루노로프’ 등과 함께 북한 정부가 지원하는 3대 해킹 조직으로 특별제재 대상에 올리면서 존재가 처음 알려졌다. 이번에도 한국을 상대로 한 안다리엘의 사이버 공격 흔적을 FBI가 먼저 발견하고 올 초부터 서울경찰청과 공조수사에 나서면서 범행 사실이 드러났다. 경찰 관계자는 “FBI는 국내 기업에 대한 수사권이 없고, 국내 수사기관은 구글 등 해외 기업의 협조를 받기 어려워 공조는 필수적”이라고 설명했다.

경찰은 안다리엘의 범죄수익금 일부가 북한으로 흘러간 정황도 포착했다. 안다리엘은 컴퓨터 시스템을 마비시키는 악성 프로그램(랜섬웨어)을 심은 뒤 시스템 복구를 대가로 돈을 요구했고, 2021년부터 올해 4월까지 국내 업체 3곳으로부터 4억7000만원 상당의 비트코인을 받았다.

경찰은 그중 일부가 국내 거주 외국인 여성 A씨 계좌를 거쳐 북한에 넘어간 것으로 보고 있다. 경찰은 A씨를 안다리엘의 공범으로 보고 입건했다. A씨는 “과거 홍콩 소재 환전업체 직원으로 근무할 당시, 업체 요청으로 계좌를 제공한 것뿐”이라며 혐의를 부인했다고 한다.