북한 정찰총국 산하 해킹그룹 안다리엘 소속의 북한 해커가 미국 방산업체와 병원 등을 해킹한 혐의로 미국에서 기소돼 체포 영장이 발부됐다. 군용 항공기 정보 등을 탈취한 이 해커는 한국·일본·영국·인도 등 다른 국가도 노린 것으로 드러났다. 미 국무부는 해당 해커의 신원이나 위치 정보를 제공하는 사람에게 최대 1000만 달러(약 138억원)를 주겠다고 나섰다.

북한 정찰총국 산하 해킹그룹 안다리엘 소속의 북한 해커 림종혁. 국무부 '정의를 위한 보상' 엑스 화면. 사진 X 화면 캡처

25일(현지시간) 미 연방수사국(FBI)은 북한 국적의 림종혁(Rim Jong Hyok)이 캔자스주 법원에서 컴퓨터 해킹과 돈세탁 공모 등의 혐의로 기소돼 체포 영장이 발부됐다고 밝혔다.

안다리엘 소속의 림종혁은 랜섬웨어를 사용해 미국 병원의 컴퓨터 네트워크에 침입해 돈을 빼앗았다. 랜섬웨어는 컴퓨터 등에 침입해 정상적으로 작동할 수 없도록 만든 뒤 이를 복구하는 대가로 돈을 요구하는 악성 소프트웨어다. 랜섬웨어 공격으로 전자 의료 기록 등에 사용되는 컴퓨터가 암호화돼 의료 서비스가 중단된 곳도 있었다.

안다리엘 소속의 북한 해커 림종혁은 랜섬웨어를 사용해 미국 병원의 컴퓨터 네트워크에 침입해 돈을 빼앗았다. 로이터=연합뉴스

국무부에 따르면 안다리엘은 의료업체 5곳, 방위 계약업체 4곳, 미 공군 기지 2곳, 미 항공우주국(NASA) 감찰관실 등에 피해를 줬다. 캔자스의 한 병원은 2021년 5월 공격을 받은 뒤 망가진 시스템을 정상화하려고 10만 달러(약 1억3800만원)어치 비트코인을 해커 측에 보냈다. 이 비트코인은 중국 단둥에 있는 '조중 친선 다리' 근처 현금자동입출금기(ATM)에서 인출됐다고 로이터통신이 전했다. 림종혁 등은 이렇게 확보한 자금을 한국·미국 정부 등을 해킹하기 위한 서버 구매에 썼다고 FBI는 밝혔다.

안다리엘 등 북한 해커 집단은 탱크·어뢰·전투기·위성·핵 시설·원자력 발전소·로봇 등 첨단 기술 정보를 탈취하는데 열을 올렸다. 실제 이들은 2010년 이전에 작성된 군용 항공기 및 인공위성에 쓰이는 재료 관련 데이터 등을 빼냈다. 텍사스 랜돌프 공군기지, 조지아 로빈스 공군기지에 있는 방산업체의 컴퓨터 시스템까지 북한 해커들이 접근했다고 AP통신이 전했다. 외신에 따르면 림종혁은 평양 및 신의주에 있는 군 정보기관 사무실에서 근무한 적이 있고 북한에 체류하고 있는 것으로 알려졌다.

미국 외에도 한국·인도·일본·영국 등이 북한 해커의 타깃 국가였다. 이와 관련, 영국 국가사이버안보센터(NCSC) 운영책임자인 폴 치체스터는 가디언에 "안다리엘은 북한 정권의 군사 및 핵 야망을 강화하기 위해 활동 중"이라며 "이들은 민감한 기술 정보와 지식재산권 데이터를 훔치기 위해 전 세계 기반시설에 지속적인 위협을 가하고 있다"고 밝혔다.

국정원 "한국어로 검색해 관심 파일 찾아"

국가정보원은 26일 미 국가안보국(NSA), 영국 NCSC와 공동으로 안다리엘 등 북한 연계 조직의 전방위 해킹 시도와 관련한 '사이버보안 권고문'을 배포했다.

권고문에 따르면 안다리엘은 평양·신의주에 기반을 두고 있는 북한 정찰총국 3국 산하의 국가 배후 해킹 조직으로, 이들은 전문화된 사이버 첩보 활동과 랜섬웨어 공격 활동을 주로 하고 있다. 안다리엘이 주도한 첩보 활동은 주로 방산·항공우주·핵공학 단체들의 군사 정보를 목표로 하고 있으며, 의료·에너지 산업 정보 탈취도 노리고 있다.

특히 권고문은 '사이버 첩보 피해 유형'으로 핵과 관련해 우라늄 처리·농축, 핵 폐기물과 보관, 원자력 발전소, 정부 원자력시설과 연구소를 예로 들었다. 항공우주 분야에선 전투기와 무인기, 미사일과 미사일 방어 시스템, 위성·위성 통신·나노 위성기술, 감시 레이더·단계별 레이더와 기타 레이더 시스템이 적시됐고, 방산 분야는 중·경량 탱크와 자주포, 경공격용 차량과 탄약 운반 차량, 군함과 전투함, 잠수함·어뢰·무인수중차량·자율수중차량·모델링과 시뮬레이션 서비스 등을 노리고 있는 것으로 나타났다.

권고문은 "공격 대상에는 국방과 민간 앱의 계약 사양, 자재 명세서, 설계 도면, 엔지니어링 문서 등이 포함됐다"면서 "안다리엘의 주요 임무 중 하나가 북한의 핵과 국방력 강화에 대한 수집 요건을 충족시키는 것으로 평가한다"고 밝혔다.

이를 위해 안다리엘의 공격자는 악성코드를 심어 명령·제어를 시도하고, 영어와 한국어로 국방과 방산 관련 키워드를 컴퓨터에서 검색해 관심있는 파일을 찾아내기도 했던 것으로 나타났다. 모두 북한이 제어하는 서버로 데이터를 절취하기 위한 것이라고 권고문은 덧붙였다.

25일 미 캔자스주 캔자스시티에 있는 병원, 군사 기지 등을 해킹하려 했다는 혐의로 북한 국적자 림종혁(사진)이 기소됐다. FBI는 림종혁을 수배하고 있다. AP=연합뉴스

북한 해커들은 최첨단 기술 정보 탈취 외에도 수익 창출에 열을 올리고 있는 것으로 나타났다. 유엔 보고서에 따르면 북한 해커들이 지난 6년간 암호화폐 회사를 60여 차례 사이버 공격해 훔친 돈만 30억 달러(약 4조1500억원)에 달하는 것으로 나타났다. 보고서는 "북한 사이버 위협 행위자들의 주요 임무는 북한에 가치 있는 정보를 획득하고 불법적으로 국가 수익을 창출하는 것"이라고 분석했다.