미국 정부가 북한 해커에 대해 1천만 달러의 현상금을 내걸고 추적에 나섰습니다. 미국의 의료기관을 대상으로 랜섬웨어 공격을 하고 미 방산업체에서 항공기 기술 등을 빼돌린 혐의입니다. 함지하 기자가 보도합니다.
미국 연방수사국(FBI)이 북한 해커 림종혁을 현상 수배했습니다.
FBI는 북한 정찰총국의 해킹 조직 안다리엘 소속인 림종혁이 ‘컴퓨터 사기와 남용 방지법(FFAA)’을 위반했다며 25일 관련 내용이 담긴 현상 수배 전단을 공개했습니다.
해당 전단에는 림종혁의 사진과 함께 성별(남)과 영어,한국어와 같은 사용가능 언어, 인종(아시안) 등 기본 정보가 담겼습니다.
또 혐의 부분에선 “림종혁이 북한 정찰총국을 대리해 활동하며 ‘마우이 랜섬웨어’ 소프트웨어를 사용해 미국 병원과 의료 회사를 대상으로 침투를 모의하고 몸값을 갈취하며 수익금을 세탁했다”고 밝혔습니다.
아울러 미국과 한국, 중국 내 정부와 기술 분야 피해자를 대상으로 사이버 스파이 해킹 작전을 수행하기 위해 인터넷 서버를 구입하기도 했다고 FBI는 지적했습니다.
수배 전단지가 언급한 ‘마우이 랜섬웨어’는 지난 2021년 5월 미국 캔자스 지역 병원을 상대로 한 사이버 공격에 사용된 악성 소프트웨어입니다. 미 수사기관은 당시 공격의 배후로 북한을 지목했었습니다.
마우이 랜섬웨어 공격으로 인해 캔자스 지역 병원과 공중 보건 단체의 컴퓨터는 먹통이 됐고 일부 병원들은 컴퓨터 가동을 정상화하기 위해 북한에 ‘몸값’을 지불하기도 했습니다.
림종혁에 대한 현상금은 1천만 달러로 안내됐습니다.
이날 국무부는 FBI의 공개 수배 직전 보도자료를 내고 ‘정의에 대한 보상(RFJ)’ 프로그램은 미국의 중요 사회기반시설을 대상으로 특정 악성 사이버 활동을 한 사람의 신원 혹은 위치 정보에 대해 최대 1천만 달러의 보상금을 지급한다고 밝혔습니다.
이어 구체적으로 림종혁을 언급하며, 북한 국적인 그가 안다리엘이라는 악성 사이버 그룹과 연관돼 있다고 확인했습니다.
이어 안다리엘 그룹에 대해 “북한의 군사 정보 기관이자 북한의 악성 사이버 활동을 주로 담당하면서 북한의 불법 무기 거래에 관여하는 정찰총국의 통제를 받고 있는 조직”이라고 설명했습니다.
그러면서 안다리엘은 사업체와 정부 기관, 방위산업체 등을 표적으로 삼는다고 확인했습니다.
국무부는 림종혁 등이 마우이 랜섬웨어를 통한 공격 당시 “의료 검사 혹은 전자 의료 기록에 사용되는 피해자의 컴퓨터와 서버를 암호화하면서 의료 서비스를 중단시켰다”고 지적했습니다.
이어 이들은 몸값으로 받은 돈을 “미국 정부 기관과 미국 및 해외 방위 계약업체 등을 대상으로 한 악의적인 사이버 작전에 투입했다”고 밝혔습니다.
그러면서 림종혁 등이 미국에 기반을 둔 업체를 해킹해 군용 항공기와 인공위성에 사용되는 재료에 관한 기밀 해제 자료를 포함해 30GB 이상의 데이터를 추출했다고 설명했습니다.
다만 해킹된 자료는 2010년 혹은 그 이전에 작성된 것이라고 국무부는 덧붙였습니다.
마이클 반하트 맨디언트 수석분석가는 25일 VOA와의 전화통화에서 “(북한 해커들은) 주로 의료 부문을 공격해 확보한 랜섬웨어 자금을 사이버 스파이 활동 목표물을 공격하는 데 사용하려 했다”고 말했습니다.
[녹취: 반하트 수석분석가] “they were looking to attack different sectors, primarily the health care sector, to use that ransomware funding to then supplement it to actually go after their cyber espionage targets… the extra money, you know, as you're getting, it will most likely go back to the regime in many other ways. But the health care wasn't the primary target in many of these occasions. It was just a means to actually fund their actual missile research or their nuclear endeavors which is very, very interesting how they've propped that up.”
이어 “이렇게 얻은 자금은 다른 여러 방식으로 북한 정권에 들어갈 가능성이 높다”고 분석했습니다.
그러면서 병원에 대한 랜섬웨어 공격은 그 자체로 목표가 아니라 미사일과 핵 개발을 위한 수단이었다는 점에서 매우 흥미롭다고 반하트 수석분석가는 진단했습니다.
현재 림종혁의 형사 사건은 미 캔자스 연방법원에서 다뤄지고 있습니다.
앞서 캔자스주 캔자스 시티의 대배심은 림종혁에 대한 기소를 결정했고, 이 같은 내용은 FBI의 수배 전단, 국무부의 현상금 발표와 함께 25일 공개됐습니다.
북한 해커가 미 사법당국의 추적을 받는 건 이번이 처음은 아닙니다.
FBI는 2021년 북한 해킹 조직 라자루스 그룹 소속 박진혁과 김일, 전창혁을 지명 수배한 바 있습니다.
이들은 2014년 소니 영화사 해킹과 2017년 워너크라이 랜섬웨어 공격을 일으킨 혐의로 미 법무부에 기소됐습니다.
다만 박진혁 등이 북한에 거주하는 것으로 알려져 이들이 실제 미국 법정에 모습을 드러낼 가능성은 적습니다.
같은 이유로 림종혁에 대한 실제 체포도 현실적으론 어려울 것으로 보입니다.
미국 정부는 북한의 사이버 활동에 대한 우려를 여러 차례 밝힌 바 있습니다.
린다 토머스-그린필드 유엔주재 미국대사는 지난달 20일 사이버 안보를 주제로 열린 유엔 안보리 공개회의에서 “전 세계의 위험한 사이버 공격 배후에 있는 범죄자 네트워크를 붕괴시키기 위해 함께 노력해야 한다”며 북한을 거론했습니다.
[녹취: 토머스-그린필드 대사] “We must work together to disrupt the networks of criminals behind dangerous cyberattacks around the globe. As highlighted in April’s Cyber Arria, that includes malicious DPRK cyber operations, which are used to fund its Weapons of Mass Destruction and ballistic missile programs. “
특히 “지난 4월 열린 아리아 포물러 방식의 사이버 회의에서 강조됐듯이 여기에는 북한의 악의적인 사이버 활동도 포함된다”며 “이는 북한의 대량살상무기와 탄도미사일 프로그램 자금 조달에 사용된다”고 주장했습니다.
그러나 북한은 그동안 사이버 공격 사실을 부인하며 이 같은 지적에 반발해 왔습니다.
북한 외무성은 지난 2022년 2월 7일 홈페이지에 올린 글에서 “우리는 있지도 않은 우리의 사이버공격, 가상화폐 절취설을 내돌리는 미국의 비열한 행위를 우리 국가의 영상 훼손으로, 주권에 대한 심각한 위협과 도전으로 보고 절대로 좌시하지 않을 것”이라고 주장했습니다.
VOA 뉴스 함지하입니다.
Forum