본문 바로가기 주메뉴 바로가기 검색 바로가기
美 연방, 수 년간의 강탈 및 사기 행위로 북한 해커 기소
상태바
美 연방, 수 년간의 강탈 및 사기 행위로 북한 해커 기소
총 13억 달러를 탈취하려 한 해커 집단 소속 해커 3명이 광범위하게 진행되었고, 현재도 진행 중인 사이버 범죄를 저지른 혐의를 받고 있다.
By ANDY GREENBERG, WIRED US

북한 해커가 지난 몇 년간 전 세계 인터넷에서 기승을 부리며 수억 달러를 탈취하고, 여러 기업의 금전을 갈취하면서 김정은 정권의 공인된 적을 상대로 복수까지 한 사실은 비밀이 아니다. 오늘날까지 미국 당국은 온라인에 널리 퍼진 문제를 일으킨 해커 단 한 명만 찾고, 2013년에 북한 해커 박진혁을 기소했다. 이제 미국 법무부가 몇 년간 이어진 사이버 범죄 행위를 한 북한 해커 두 명을 추가로 기소하며, 이들이 저지른 범죄 혐의를 더 자세히 밝혔다.

2월 17일(현지 시각), 미국 검찰이 북한 해커 박진혁과 전창혁, 김일을 기소했다. 세 명 모두 북한의 해커 조직 라자루스, 히든 코브라 혹은 APT38 소속이다. 기소된 북한 해커의 혐의는 북한이 6년 넘게 전 세계에서 저지른 각종 혼란스러운 해킹 공격이다. 무수히 많은 은행 기관 및 암호화폐 기업 침입 행위에서 북한 해커 3인의 기소 혐의에는 워너크라이 랜섬웨어를 배치한 행위가 포함되었으며, 워너크라이 랜섬웨어 때문에 전 세계적으로 40억 달러 이상의 손실을 기록한 것으로 추정된다. 또, 기소 내용에는 북한 해커 3인이 김정은 정권을 당황스럽게 하거나 공격하는 언론 보도를 멈추기 위해 소니 빅처스와 영국 TV 방송사 매머드 픽처스(Mammoth Pictures), AMC 시어터(AMC Theaters)를 상대로 사이버 공격을 개시한 사실도 기술되었다.

아마도 가장 놀라운 사실은 기소장에 북한 해커 3인이 각종 가짜 악성 암호화폐 앱을 설계해 피해자의 자금을 훔친 것은 물론이고, ‘마린체인(Marine Chain)’이라는 자체 암호화 토큰을 생성할 계획까지 한 사실이 자세히 설명된 것이다. 사용자가 선원 화물선 지분을 매입하도록 하지만, 사실상 국제 제재를 피하면서 북한 정부의 자금을 모으기 위한 수단이었다.

캘리포니아주 중앙법원 검찰총장 대행 트레이시 L. 윌키슨(Tracy L. Wilkison)은 “북한 해커 집단이 저지른 범죄의 범위는 매우 넓고 오랫동안 이어져왔다. 게다가 범죄 규모도 널리 확장되고 있었다. 기소장에 명시된 혐의는 그저 복수를 이끌어내고, 김정은 정권을 지탱하기 위한 돈을 획득할 목적에 불과한 국가 단위 범죄이다”라고 말했다.
 
[사진=Freepik]
[사진=Freepik]

기소장에는 해커가 훔친 전체 금액이 명시되지 않았다. 그러나 검찰은 북한 해커 3인이 총 13억 달러가 넘는 금액을 탈취하려 했다고 말한다. 실제 범죄 수익으로 볼 때, 이번 북한 해커 기소는 총 1억 2,100만 달러의 암호화폐 탈취와 함께 장기적으로 해커가 SWIFT 거래를 조작하고, ATM 현금 인출을 감행한 범죄도 저질렀다. 특히, ATM 현금 인출 범죄에는 멕시코 금융 은행 방코멕스트(Bancomext)에서의 1억 1,000달러를 인출한 행위와 방글라데시 중앙은행에서의 1억 100만 달러 인출 행위도 포함됐다. 북한 해커의 소행으로 알려진 워너크라이 랜섬웨어는 전 세계 병원과 정부 기관, 기업에서 수만 명의 컴퓨터를 마비시켜 수십만 달러를 갈취한 역사상 가장 큰 피해를 일으킨 사이버 공격으로 알려졌다.

북한 해커 3인은 소니 픽처스를 대상으로 한 악명 높은 사이버 공격 행위에도 개입했다는 혐의를 받았다. 바로 이번에 기소된 해커 3명이 소니에 김정은 암살 코미디 영화 ‘인터뷰(The Interview)’ 개봉을 취소하도록 강요하려 했다. 그러나 기소장에는 스피어피싱 메일을 AMC 극장에 보내 영화 ‘인터뷰’ 개봉을 취소하도록 한 것을 포함해 비교적 잘 알려지지 않은 영화 및 TV 업계를 노린 공격도 기술되었다. 또한, 영국의 핵 과학자가 북한에 납치되는 내용의 드라마를 제작하려 할 때, 영국 TV 제작사 매머드 스크린(Mammoth Screen)을 상태로 해킹한 혐의도 받고 있다.

아마도 가장 놀라운 사실은 북한 해커가 암호화폐 사기 범죄 행위를 계획한 사실과 기업가를 사칭한 사실이다. 기소장에는 북한, 구체적으로 해커 김일이 화물선을 포함한 해양 선박의 블록체인 기반 지분을 판매하는 마린체인이라는 암호화 토큰을 발행하려 한 혐의가 명시됐다. 영국 국책연구소인 왕립 합동 군사 연구소(Royal United Services Institute)는 마린체인이 UN에서 북한의 2018년 제재 회피 계획으로 확인한 사실을 밝혀냈다. 그러나 마린체인이 실제로 시행된 적이 있는지는 불확실하다.

북한 해커 3인은 또 다른 암호화폐 탈취 계획에서 월드비트 봇(WorldBit-Bot)과 아이크립토Fx(iCryptoFx), 쿠페이 월렛(Kupay Wallet), 코인고 트레이드(CoinGo Trade), 도루시오(Dorusio), 앤트투웨일즈(Ants2Whales), 크립토누로 트데이더(CryptoNeuro Trader) 등과 같은 이름의 악성 암호화폐 앱을 생성하려 했다. 모두 갑작스레 피해자의 암호화폐를 탈취하기 위해 생성된 것이다. 2월 17일, 미국 사이버보안 및 인프라 보안 기관(US Cybersecurity and Infrastructure Security Agency)은 합법적인 암호화폐 기업을 가장한 북한의 여러 악성 앱이 유포된 사실을 경고하는 내용의 경고문을 발표했다. 이 과정에서 해커는 앱에서 피싱 메일을 보내거나 사용자를 속여, 가짜 웹사이트를 다운로드하도록 유도했다. 보안 기업 카스퍼스키는 2018년 초, 애플제우스(AppleJeus)라는 암호화폐 탈취 범죄를 경고했다.

보안 기업 리코디드 퓨처(Recorded Future) 소속 위협 정보 애널리스트인 그렉 레스네위치(Greg Lesnewich)에 따르면, 이번 기소는 미국 기관 이외 다른 곳까지 겨냥한 사이버 공격 및 사이버 범죄 작전을 개시하는 해외 해커를 기소하고자 하는 의지가 커지고 있음을 나타낸다. 또, 그는 일부 기소 혐의에서 미국이 국제 거래에서 암호화폐를 도난당한 보유자로서만 피해를 받았다는 사실을 지적했다. 이와 관련, 그는 “미국 외 해외 기관이 피해를 보았어도 미국이 기소할 의지가 커지고 있음을 나타낸다”라고 말했다.

그와 동시에 레스네위치는 오래 이어진 범죄에 대한 이번 기소 건은 북한이 제재 때문에 자금이 부족한 김정은 정부의 자금 지원에 도움이 된다면 각종 수단을 동원하고 암호화폐를 탈취하겠다는 야망을 확장한 사실을 나타내기도 한다고 설명했다. 그는 “북한은 매우 교묘한 수법으로 암호화폐를 훔치고 있다. 분명 다양한 방식으로 이와 관련된 문제를 해결하기 위한 최고 인재 몇 명을 투입했을 것이다”라고 말했다.

아직 북한 해커 3인 모두 체포되거나 송환되지 않았다. 또, 현재 북한에 있다는 사실을 고려했을 때, 앞으로 북한 은행의 돈세탁 업자 역할을 한 혐의를 받는 37세 캐나다인 갈렙 알로매리(Ghaleb Alaumary)의 혐의도 절대 풀지 못할 것으로 보인다. 이미 돈세탁 혐의 유죄를 인정한 알로매리는 조지아주 남부지구에서 체포돼, 업무용 이메일 해킹 혐의로 기소됐다.

2월 17일에 열린 기자회견에서 법무부 차관 존 데머스(John Demers)는 법무부가 박진혁과 전창혁, 김일을 체포하리라 거의 기대하지 않는다고 밝혔다. 그러나 데머스 차관은 이번 기소가 북한 정권, 그리고 북한과 비슷한 악랄한 행위를 하는 다른 국가에 언제든 해커의 신원을 모두 밝혀낼 수 있으며, 제재와 같은 다른 외교적 수단을 포함해 책임을 물을 수 있다는 경고 메시지를 보내는 역할을 한다고 말했다. 또, 데머스 차관은 “키보드 뒤에서 해킹하면서 익명성을 지니고 있다고 생각하겠지만, 실제로는 그렇지 않다. 미국은 국가 수준이나 군사 혹은 정부 기관 수준 단위보다는 개인 해커에 대한 귀속성을 입증할 수 있다”라고 말했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Feds Indict North Korean Hackers for Years of Heists and Scams
이 기사를 공유합니다
RECOMMENDED