미국 연방수사국(FBI)를 떠난 이후에도 여전히 북한의 악명 높은 해커를 추적 중인 전직 요원의 이야기가 공개됐다.
연합뉴스에 따르면 미국의 일간 월스트리트저널(WSJ)은 19일(현지시간) 전직 FBI 요원 에릭 커의 4년에 걸친 북한 해커 추적기를 소개했다.
2023년까지 FBI에서 사이버보안 관련 업무를 했던 커는 여전히 북한 해커 ‘하데스’의 정체를 밝히고자 자체 수사 중이다.
하데스는 한국에서도 이름이 알려진 북한 정찰총국 산하 해킹그룹 안다리엘 소속의 해커다.
2021년 5월4일 하데스는 미 캔자스주의 한 병원 서버를 공격, 누구도 접근할 수 없게끔 시스템을 잠가 버렸다. 이로 인해 수면 검사실을 포함해 진단·치료에 필요한 네트워크와 장비가 먹통이 됐다. 컴퓨터·네트워크를 해킹해 마비시키고, 이를 복구하는 대가로 돈을 요구하는 랜섬웨어 공격이었다.
하데스는 병원 측에 10만 달러(현재 환율로 약 1억5천만원) 가치의 비트코인 2개를 주면, 시스템을 정상화해주겠다고 협박했다. 또 48시간 내 비트코인을 주지 않으면 20만 달러를 내야 할 것이라고 경고했다.
결국 병원은 하데스에 비트코인 2개를 넘겨줬고, 해당 비트코인은 중국 은행으로 이체돼 중국 단둥 인근의 현금자동입출금기(ATM)에서 인출됐다.
해당 사건을 기소한 미국 정부는 주도자인 림종혁의 이름과 사진을 공개했다. 하지만 하데스는 신원을 특정하지 못해 ‘공모자1’로 남겨졌다.
북한 해커들의 병원 시스템 공격에서 경각심을 느낀 커는 당시 FBI 동료와 함께 베일에 싸인 ‘공모자1’을 추적하기로 마음먹었다.
그는 ‘암호화폐 카지노’ 개장을 준비하는 척 북한 출신 해커들에게 동업을 제안, 안다리엘 수사 과정에서 확보한 정보들을 바탕으로 ‘공모자 1’로 의심되는 용의자를 추려 나갔다.
커는 앞서 7월 접촉한 북한 해커를 ‘하데스’라고 확신하고 있다. 해당 해커는 하데스가 소셜미디어 프로필 등에서 사용한 용어들을 그대로 사용했을 뿐만 아니라, 같은 전화번호를 사용한 정황도 포착됐다.
그 용의자는 자신이 돈세탁 시스템을 만들어주겠다고 커에게 제안하는가 하면, 과거 랜섬웨어를 개발해 100만 달러 이상을 벌었다고 과시하기도 했다.
암호화폐·사이버보안 전문가들은 이와 같이 미국 기업의 IT 인력으로 위장 취업한 북한 해커들의 범행 사례가 더 많을 것이라고 강조한다. 더 큰 범행을 저지르기 위해, ‘침입’보다도 시스템 접근 권한을 확보하는 것이 북한 해커의 목표라는 것이다.
커는 20일(현지시간) 워싱턴 D.C.에서 열리는 한 콘퍼런스에서 지금까지 확보한 증거를 공개할 예정이다.
Copyright ⓒ 경기일보 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
