평양서 국내 방산기술 250개 파일 해킹···수익금 4.7억 북한으로

‘평양 류경동 IP’ 3개월간 83회 접속

피해업체 대부분 "해킹 사실도 몰라"

업체 일부는 랜섬웨어 복구 대가로

4.7억 지불···북한으로 흘러 들어가

북한 해킹조직이 국내 방산업체와 연구원, 대학 등을 해킹해 중요 기술이 담긴 파일 250개를 탈취한 사실이 드러났다. 이 중 피해 업체 세 곳이 ‘랜섬웨어 복구’ 대가로 건넨 약 4억 7000만 원은 북한으로 전달됐다.

서울경찰청 안보수사지원과(첨단안보수사계)는 4일 북한 해킹조직 ‘안다리엘’이 국내 방산업체 등을 해킹해 레이저 대공무기 등 중요 기술자료를 탈취하고, 랜섬웨어 대가로 받은 비트코인을 외국인 여성 A씨의 계좌를 통해 자금세탁 후, 북한으로 송금한 정황까지 포착해 이에 대한 전방위적 수사를 진행하고 있다고 밝혔다.

경찰은 ‘안다리엘’을 추적 중이던 미국 FBI와 공조해 해커가 사용한 국내 서버 및 구글 메일 계정을 수사한 결과, 해킹 IP 주소를 ‘조선민주주의인민공화국 평양 류경동’으로 특정했다. 류경동은 북한 최고층 건물인 류경호텔과 류경정주영체육관 등이 위치해 평양 시내 명소로 꼽히는 지역으로 국제통신국과 평양정보센터 등이 자리하고 있다.

‘안다리엘’ 해커들은 수사기관의 추적을 피하고자, 국내 서버임대업체를 경유지 서버로 삼아 해킹 거점으로 이용한 것으로 파악됐다. 서버임대업체가 신원이 명확하지 않은 가입자에게도 서버를 임대해준다는 허점을 이용한 것이다. 경찰에 따르면 이들은 평양 류경동에서 지난해 12월부터 올해 3월까지 세 달간 이 서버에 총 83회 접속해 국내 방산업체와 연구소, 제약업체 등을 해킹했다.

문제는 기밀 자료가 담긴 파일 250여개가 빠져나갈 동안, 일부 피해업체는 해킹 사실조차 인지하고 있지 못했다는 점이다. 경찰 수사 결과에 따르면 ‘안다리엘’ 해커들은 국내 방산업체, 연구원 등을 해킹해 레이저 대공무기, OO탐지기, OO제작계획서 등 중요 기술자료 뿐만 아니라, 서버 사용자 계정의 아이디·비밀번호 등 개인정보도 빼갔다. 이렇게 털린 파일 크기는 총 1.2TB로 풀HD급 영화 230편 이상의 분량에 달한다.

이에 경찰은 해당 업체들에 피해 사실을 알렸으나, 대부분 업체는 이를 인지하지 못하고 있었던 것으로 알려졌다. 일부는 무방비로 피해를 당한 이후에도 기업 신뢰도 하락 등을 우려해 경찰에 신고를 하지 않은 것으로 확인됐다.

피해업체 중 세 곳은 ‘안다리엘’에 랜섬웨어 공격을 당해 시스템 복구 대가로 모두 4억 7000만 원에 달하는 비트코인을 전달하기도 했다. 랜섬웨어 공격이란 컴퓨터 시스템을 감염시킨 후, 이를 인질로 삼아 ‘접근권한을 다시 얻고 싶으면 암호화 화폐 등 몸값을 내놓으라’고 협박하는 것을 의미한다.

경찰은 이들이 갈취한 비트코인 자금 흐름을 추적한 결과, 이 중 약 1억 1000만 원 정도가 외국인 여성 A씨의 계좌를 거쳐 중국 요녕성에 소재한 중국 K은행으로 송금된 사실을 포착했다. 이 돈은 다시 북·중 접경지역에 위치한 K은행 지점에서 출금된 것으로 파악됐다. 경찰은 해당 자금이 북한으로 흘러 들어간 것으로 추정하고, A씨를 피의자로 입건해 조사 중이다. 다만, A씨는 현재까지 “과거 홍콩 소재 환전업체 직원으로 근무할 당시 편의상 자신의 계좌를 거래에 제공해준 것 뿐”이라며 연루 여부 등 혐의를 부인하고 있는 것으로 알려졌다.

경찰 관계자는 “이번 사건에서 확인된 해외 공격·피해지, 관련자에 대해 미국 FBI 등 관계기관과 적극적으로 국제 공조 수사를 진행하는 한편, 추가 피해 사례 및 유사 해킹 시도 가능성에 대해서도 계속 수사할 계획”이라면서 “피해업체를 대상으로 보안 취약점 점검 및 최신 버전의 보안 소프트웨어 업데이트, 개인정보를 포함한 중요 전산 자료 암호화 등 추가 피해 예방을 위한 보안 조치를 강조하는 한편, 국내 서버 임대업체 등을 대상으로 ?사용하지 않는 포트 접속 폐쇄 ?비밀번호 패턴 변경 등 보안 강화를 권고했다”고 밝혔다.

아울러 “현재 신원이 명확하지 않은 가입자에게도 서버 임대가 가능해 임대 서버들이 범죄에 활용되고 있는 만큼, 관련 서버 임대업체들에 대해서도 지속적인 수사를 진행할 예정”이라고 전했다.

김남명 기자 name@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]