경찰이 국내 임대서버를 이용한 북한 해킹조직이 방산기술 자료를 탈취하고, 랜섬웨어를 볼모로 갈취한 범죄수익금을 북한으로 빼돌린 정황을 포착해 전방위적 수사에 나섰다.
4일 서울경찰청 안보수사지원과는 북한 해킹조직 '안다리엘'이 거점으로 사용한 국내 서버, 가상자산거래소 등을 수사한 결과 중요 방산기술자료 250여 개가 탈취됐다고 밝혔다.
랜섬웨어는 컴퓨터 시스템을 감염시킨 뒤 이를 인질로 삼아 접근권한을 다시 얻고 싶으면 암호 화폐 등 몸값을 내놓으라고 협박하는 범죄 수법을 말한다.
경찰은 랜섬웨어의 대가로 피해업체가 지불한 비트코인 범죄수익금 일부가 외국인 여성 A씨를 통해 북한으로 흘러 들어간 정황도 포착해 이에 대한 수사를 이어가고 있다.
해킹 등 자료탈취 개요도. 서울경찰청 제공수사에 착수한 경찰은 미국 연방수사국(FBI)과 공조해 지난해 12월부터 지난 3월까지 평양 류경동에서 해커 경유지로 사용된 국내 서버에 총 83회 접속한 사실을 밝혀냈다.
수사기관의 추적을 피하기 위해 안다리엘은 신원이 명확하지 않은 가입자에게도 서버를 임대해 주는 국내 서버임대업체를 이용한 것으로 드러났다.
경찰은 해킹 경유지로 사용된 국내 임대서버와 구글 등 국내외 이메일을 압수수색하고 서버 가입자 정보를 근거로 40여 차례에 걸쳐 통신수사를 실시하는 등 강제수사에 착수했다.
경찰 수사 결과, 국내 방산업체, 연구소, 제약업체 등을 통해 레이저 대공무기 등 중요 기술자료 1.2TB(풀HD급 영화 230편 이상의 분량)와 서버 사용자 계정의 개인정보가 탈취된 것으로 확인됐다.
경찰에 따르면 해당 업체들은 피해 사실을 인지하지 못했거나, 심지어 피해 사실을 알고도 기업 신뢰도가 떨어질까 두려워 경찰에 신고조차 하지 않았다.
랜섬웨어 사건 개요도. 서울경찰청 제공
또 경찰은 빗썸, 바이낸스 등 국내외 가상화폐 거래소 거래내역을 분석해 안다리엘이 거둬들인 범죄수익금의 자금세탁 경로를 쫓고 있다.
경찰에 따르면 갈취된 비트코인 중 일부인 약 63만 위안(1억 1천만 원)이 A씨의 계좌를 거쳐 중국 요녕성에 있는 K은행으로 송금됐고, 이 돈은 북한과 중국의 접경지역에 있는 K은행 지점에서 출금된 것으로 추정된다.
이에 A씨를 입건한 경찰은 A씨의 금융계좌, 휴대전화, 주거지 등을 압수수색해 관련 파일 5만여 건을 확보했다. 하지만 A씨는 경찰 수사에서 '과거 홍콩 소재 환전업체 직원으로 근무하면서 편의상 본인 계좌를 거래에 제공해준 것일 뿐'이라며 혐의를 부인한 것으로 전해졌다.
경찰 관계자는 "미국 연방수사국 등 관계기관과 적극적으로 국제 공조 수사를 진행하는 한편, 추가 피해 사례 및 유사 해킹 시도 가능성에 대해서도 계속 수사하겠다"며 "현재 신원이 명확하지 않은 가입자에게도 서버 임대가 가능해 임대 서버들이 범죄에 활용되고 있는 만큼, 관련 서버 임대업체들에 대해서도 지속적인 수사를 진행할 예정"이라고 밝혔다.