북한 해킹조직이 국내 업체에 랜섬웨어 공격을 한 뒤 피해 업체들에게 4억원이 넘는 비트코인을 가로챈 것으로 나타났다.
서울경찰청 첨단안보수사계는 미국 연방수사국(FBI)과 공조해 북한 정찰총국 내 해킹조직인 ‘안다리엘’이 레이저 대공무기와 같은 기술자료를 탈취한 정황을 포착했다고 4일 밝혔다.
‘안다리엘’은 국내 업체에서 서버를 임대해 경유지로 삼아 지난해 12월부터 지난 3월까지 국내 통신·보안·정보기술(IT) 관련 대기업 자회사, 방산업체, 제약사, 금융사를 해킹한 것으로 드러났다.
이 조직의 대표적인 표적은 첨단기술·식품·생물학을 다루는 기술원, 연구소, 대학교 등으로 다양했다.
경찰에 따르면 안디리엘은 신원이 불분명한 가입자에게도 서버를 임대하는 국내 업체를 이용해 랜섬웨어 공격을 가했다.
해커가 사용한 구글 메일 계정을 수사한 결과, 안다리엘은 국내 서버 임대업체를 경유지로 삼아 지난해 12월부터 지난 3월까지 평양 류경동에서 모두 83회나 접속했다. 평양 류경동은 국제통신국과 평양 정보센터 등이 있는 지역이다.
이 조직은 국내 기업‧기관에서 레이저 대공무기를 포함한 주요 기술자료, 서버 이용자의 아이디·비밀번호 등 개인정보를 탈취했다. 탈취한 기술과 자료의 분량은 1.2테라바이트(TB)에 달하는 것으로 추정된다.
또 안다리엘의 랜섬웨어 공격으로 피해를 본 업체들은 컴퓨터 시스템 복구의 대가로 4억7000여만원 상당의 비트코인을 갈취당한 것으로도 드러났다.
업체들 대부분은 피해 사실을 모르고 있거나, 알고 있어도 신뢰도 하락 등을 우려해 피해 신고는 별도로 하지 않은 것으로 파악됐다.
경찰은 안다리엘이 탈취한 비트코인 중 일부가 북한으로 넘어간 것으로 보고 있다.
경찰이 세계 최대 암호화폐 거래소 바이낸스, 국내 거래소 빗썸 등의 매매 내역을 압수해 분석한 결과 비트코인 중 1억 1000만원은 외국인 명의 계좌를 거쳐 북·중 접경지역에 있는 한 은행에서 출금된 것으로 조사됐다.
경찰은 계좌 명의자인 A씨를 피의자로 입건하고, A씨의 금융계좌, 휴대전화, 주거지 등에 대한 압수수색을 진행했다.