북한: 미 당국, 북 해커가 갈취한 6억 상당의 비트코인 회수

리사 모나코 미 법무부 차관은 법무부가 북한의 악의적인 사이버 활동에 대해 다각도로 맞대응하고 있다고 밝혔다

사진 출처, Getty Images

사진 설명, 리사 모나코 미 법무부 차관은 법무부가 북한의 악의적인 사이버 활동에 대해 다각도로 맞대응하고 있다고 밝혔다

미국 법무부가 북한 해커로 추정되는 범인들이 미국 병원을 공격해 갈취한 50만달러(약 6억5000만원) 상당의 비트코인을 회수했다고 지난 19일(현지시간) 밝혔다.

이들 해커는 새로운 랜섬웨어 변종으로 여러 의료 기관을 공격해 '몸값' 명목으로 자금을 갈취했다.

미 당국은 피해를 본 병원 두 곳에 자금을 돌려줬다고 밝혔다.

이번 일은 미국이 북한의 랜섬웨어 공격 가능성을 강하게 경고한 이후 이례적인 회수 성공 사례다.

리사 모나코 미 법무부 차관은 19일 연설을 통해 캔자스주의 한 병원이 랜섬웨어 공격을 받고 신속히 연방수사국(FBI)에 신고해 협조한 점을 높이 샀다.

모나코 차관은 "(신속한 신고 덕에) 알려지지 않았던 다른 피해자들이 낸 몸값뿐만 아니라 해당 병원이 낸 몸값도 되찾을 수 있었고, 또 미확인 랜섬웨어 변종을 확인할 수 있었다"고 밝혔다.

병원을 노린 해커

공식 문서에 따르면 해커들은 지난해 5월 '마우이(Maui)'라는 이름의 랜섬웨어 변종을 심어 캔자스주 병원의 서버와 파일을 암호화했다.

일반적으로 랜섬웨어가 설치되면 사용자의 파일이 암호화되거나 소위 '몸값'이 지불될 때까지 사용자가 시스템에 접근할 수 없다.

Skip TOP 뉴스 and continue reading
TOP 뉴스

End of TOP 뉴스

그렇게 IT 시스템에 접속하지 못한 채 1주일을 견딘 병원 측은 결국 약 10만달러를 비트코인으로 지급해 서버와 장비를 복구했다.

이러한 몸값 지급이 불법은 아니지만, 전 세계적으로 법 집행 기관들은 이를 권장하지 않는다.

한편 FBI는 병원 측이 몸값 지불에 대해 신속히 신고한 덕에 수사관들이 북한과 연계된 미확인 랜섬웨어 변종을 식별하고, 또 암호화폐의 흔적을 추적해 중국에 기반을 둔 자금세탁 업자들까지 찾아낼 수 있었다고 밝혔다.

또한 FBI는 범죄에 이용된 또 다른 암호화폐 계정에서 비트코인 12만달러어치를 찾아냈다. 이는 콜로라도주의 다른 병원이 같은 방식으로 랜섬웨어 마우이 공격을 당한 뒤 지급한 몸값인 것으로 확인됐다.

FBI 측은 캔자스주와 콜로라도주의 두 병원에 이 자금을 모두 돌려줬다고 밝혔으나, 압류한 나머지 자금의 출처는 밝히지 않았다.

어떻게 압류했나

FBI가 어떻게 자금을 압류할 수 있었는지는 알려지지 않았다.

이에 대해 비트코인 결제 분석 기업 '엘립틱'의 톰 로빈슨 공동창업자 및 수석 과학자는 BBC와의 인터뷰에서 해커들이 받아낸 비트코인을 전통적인 화폐로 환전하려고 시도하는 과정에서 압류한 것일 수도 있다고 설명했다.

도난당한 암호화폐를 압류할 때 보통 사이버 범죄자들을 체포해 이들의 전자 지갑에 접근한다

사진 출처, EUROPOL

사진 설명, 도난당한 암호화폐를 압류할 때 보통 사이버 범죄자들을 체포해 이들의 전자 지갑에 접근한다

"수사관들이 암호화폐 흔적을 거래소까지 추적했을 가능성이 크다. 자금세탁 업자들이 현금을 인출하기 위해 송금하는 곳이다. 거래소는 규제를 적용받는 사업장이며 법에 따라 고객의 자금을 압류할 수 있다"는 것이다.

"또 다른 가능성으로는 자금 세탁자의 전자 지갑에서 직접 암호화폐를 압수했을 수도 있습니다. 그런데 이는 앞서 말한 가능성보다 더 까다롭습니다. 왜냐하면 암호화폐가 들어있는 전자 지갑에 접근하는 데 필요한 액세스 즉, 비밀번호를 알아야 하기 때문입니다."

미 당국은 북한과 러시아 등 서방 국가의 수사 협조에 잘 응하지 않는 지역에서 활동하는 사이버 범죄자들이 갈취한 자금을 회수하기 위해 점점 더 새로운 전술을 구사하고 있다.

한편 사이버 보안 기업 '래피드7'의 젠 엘리스는 "이러한 회수 성공은 매우 드문 사례다. 이번 사건은 사이버 갈취 사건이 일어났을 때 당국에 신속히 알리고 협조하는 것이 얼마나 중요한지 보여준다"고 말했다.

"수사 당국이 언제나 자금을 회수할 순 없겠지만, 공격자의 전술, 기술, 절차에 대한 정보를 더 많이 얻을수록 공격을 방해하고 저지하고 이에 대응할 수 있기에 결국 모두에게 도움이 되는 일입니다."

미 당국은 작년 6월에도 자국 송유관 기업 '콜로니얼 파이프라인'이 러시아에 거점을 둔 것으로 추정되는 사이버 범죄 조직에 지급한 몸값 440만달러의 대부분을 회수하는 데 성공하기도 했다.

또한 작년 11월에는 러시아와 밀접한 랜섬웨어 해킹 조직 '레빌'이 갈취한 몸값 중 600만달러를 회수했다.

북한의 랜섬웨어 공격

전통적인 첩보활동의 목적뿐만 아니라 북한 정권은 수년간 돈을 벌 목적으로 해킹을 지시해왔다는 비난을 받아왔다.

북한에는 일명 '라자루스'라고 불리는 해킹 조직이 있다. 지난 2016년 방글라데시 중앙은행을 해킹해 10억달러를 빼내려고 시도한 혐의를 받는 단체다.

또한 지난해에는 암호화폐 거래소를 공격해 큰 이득을 본 것으로도 추정되고 있다.

이런 와중에 미 사이버보안 및 인프라 보안국(CISA)은 지난달 미국 의료 기관에 북한 해커의 랜섬웨어 공격에 주의하라고 경고한 바 있다.

CISA는 이번 공격의 배후가 북한이라는 증거를 제시하진 않았으나, 랜섬웨어 마우이에 대한 사이버 보안 자문 공동 평가를 통해 "적어도 작년 5월부터 북한 당국이 지원하는 사이버 행위자들이 의료 기관을 목표로 마우이를 사용하고 있다"고 밝혔다.