공병선기자
북한 해킹조직 '안다리엘'이 국내 방산업체 등을 해킹해 중요 기술자료를 빼돌리고 세탁한 돈을 자국으로 송금한 정황이 포착돼 경찰이 전방위적 수사에 나섰다.
4일 서울경찰청 안보수사지원과는 안다리엘이 거점으로 사용한 국내 서버 및 가상자산 거래소 및 자금이 흘러 들어간 외국인 여성 A씨의 주거지를 압수수색하고 A씨의 휴대폰·노트북 디지털 포렌식 등 다각적인 수사를 진행했다고 밝혔다.
안다리엘은 지난해 12월부터 올 3월까지 북한 평양 류경동에서 경유지 서버로 삼은 국내 서버임대업체에 총 83회 접속하는 등 이 업체를 해킹 거점으로 활용했다. 류경동에는 국제통신국과 평양정보센터가 있다. 경찰은 안다리엘을 추적 중이던 미국 연방수사국(FBI)와 공조하면서 해커가 사용한 구글 메일 계정을 수사해 이 같은 사실을 확인했다.
경찰은 국내 임대서버와 구글 등 국내·외 이메일을 압수수색하고 서버 가입자 정보를 바탕으로 40여회에 걸친 통신수사를 펼친 결과, 안다리엘이 방산업체·연구소·제약업체 등을 해킹해 레이저 대공무기, 탐지기, 제작계획서 등 중요 기술자료뿐만 아니라 서버 사용자 계정의 아이디·비밀번호 등 개인정보도 탈취한 것으로 파악했다. 피해업체에는 국내 대기업 자회사와 국내 기술원 연구소 및 교육기관, 방산·금융·제약·물류·IT업체 등이 포함됐다.
랜섬웨어 범죄 개요도.[자료제공=서울경찰청]
해당 업체들은 사실상 무방비로 해킹에 노출돼 있었다. 경찰은 중요 기술 및 자료가 담긴 것으로 추정되는 총 1.2테라바이트(TB) 분량의 파일이 탈취된 사실을 해당 업체에 통보했지만 피해를 인지하지 못한 업체가 대부분이었다. 경찰에 따르면 일부는 기업 신뢰도 하락을 우려해 경찰에 피해 신고를 하지 않기도 했다.
안다리엘은 컴퓨터 시스템을 감염시키는 악성 랜섬웨어를 유포하고 접근권한을 다시 회복하는 조건으로 비트코인을 받아냈다. 피해업체는 3곳, 피해액은 약 4억7000만원이다. 피해업체가 지불한 비트코인은 국내 가상자산 거래소 빗썸과 국외 가상자산 거래소 바이낸스 등을 거쳤다. 경찰이 이 거래소들의 거래 내역을 압수해 분석한 결과, 갈취된 비트코인 일부가 외국인 여성 A씨의 계좌를 거치는 등 자금세탁 후 중국 랴오닝성에 소재한 중국 K은행으로 약 63만위안(약 1억1000만원) 송금됐다. 경찰 관계자는 "이 돈이 북·중 접경지역에 위치한 K은행 지점에서 출금됐다"며 "해당 자금이 북한으로 흘러 들어간 것으로 추정하고 있다"고 설명했다.
경찰은 A씨를 피의자로 입건하는 한편 5만여건의 파일을 압수해 조사하는 등 안다리엘의 자금세탁책 여부를 확인하고 있다. A씨는 과거 홍콩 소재 환전업체 직원으로 근무하면서 편의상 본인 계좌를 거래에 제공한 것뿐이라며 혐의를 부인하고 있다. 경찰 관계자는 "이번 사건에서 확인된 해외 공격·피해지, 관련자에 대해 美 FBI 등 관계기관과 적극적으로 국제 공조 수사를 진행하겠다"며 "추가 피해 사례 및 유사 해킹 시도 가능성에 대해서도 계속 수사할 계획이다"고 말했다.