美법무부, 북한 해커 박진혁 기소… 이메일 1천개, SNS 압수수색해 단서 확보

디지털뉴스부

입력 2018-09-08 07:47:22
글자크기
  • 페이스북
  • 트위터
  • 링크
  • 메일보내기
  • 인쇄
  • 페이스북
  • 트위터
  • 구글플러스
  • 메일전송
2018090801000540000026471.jpg
미 법무부가 2014년 소니픽처스 해킹과 2016년 8천100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 지난해 워너크라이 랜섬웨어 공격 등을 자행한 혐의로 북한 프로그래머이자 '해커'인 박진혁이라는 인물을 기소했다고 지난 6일(현지시간) 밝혔다. 사진은 북한 해커 박진혁에 대한 미국 연방수사국(FBI)의 수배전단. /미국 연방수사국(FBI) 제공=연합뉴스

도널드 트럼프 미국 행정부가 지난 6일(현지시간) 북한 비핵화를 위한 협상을 진행 중인 가운데 북한의 사이버 범죄에 대해 전면 대응에 나섰다.

미 법무부는 이날 2014년 소니픽처스 해킹과 2016년 8천100만 달러를 빼내 간 방글라데시 중앙은행 해킹, 지난해 워너크라이 랜섬웨어 공격 등을 자행한 혐의로 북한 프로그래머이자 '해커'인 박진혁이라는 인물을 기소했다.

북한 정부가 지원한 사이버 범죄와 관련해 기소까지 한 것은 이번이 처음이라고 법무부는 설명했다.

이는 북한의 실질적인 비핵화 조치가 있을 때까지 제재를 지속하겠다는 트럼프 행정부의 의지를 반영한 것으로 보인다. 특히 북한 비핵화 협상과는 별로도 '고도의 해킹 수준'을 자랑하는 것으로 알려진 북한의 '해킹'을 앞으로도 용납하지 않겠다는 경고 메시지로 보인다.

박진혁과 그가 다른 해커들과 몸담았던 위장회사 '조선 엑스포 합영회사'는 미국 재무부의 제재 명단에 올랐다.

미 법무부 공소장에 따르면 박진혁은 북한의 대표적 해킹조직으로 알려진 '라자루스' 그룹의 멤버이자 10년 이상 '조선 엑스포'에 몸담은 컴퓨터 프로그래머다.

라자루스는 주요 해킹사건 때마다 등장했던 해킹 그룹이며, '조선 엑스포'는 북한군의 정보 관련 파트인 '랩 110'(Lab 110)과 연계된 '위장회사'로 북한은 물론 중국 등에 기반을 두고 활동했다.

미 AP통신은 '조선 엑스포'는 자체 홈페이지에 2002년 설립된 북한의 첫 인터넷 회사라면서 김일성 대학 등을 졸업한 20명을 고용하고 있으며, 게임과 도박, 전자결제, 이미지 인식 소프트웨어 등에 집중하고 있다고 소개했었다고 설명했다.

그러나 2016년 홈페이지에서 북한 관련 언급을 삭제한 데 이어 그 이후 홈페이지 자체가 없어졌다.

공소장에 따르면 북한 조선 엑스포 합영회사는 해킹과 사업, 소프트웨어 업무, 정보기술 프로젝트 등을 함께 수행했으며 지메일(gmail)을 포함한 무료 이메일 서비스를 사용한 것으로 나타났다.

미 수사 당국은 이 과정에서 박진혁의 상관으로 추정되는 인물이 그의 이력서와 사진을 다른 회사로 보낸 것을 파악해 북한 해킹 사건을 해결할 단서를 찾았다.

수사 당국은 법원으로부터 약 100통의 압수수색영장을 발부받아 이를 토대로 약 1천 개의 이메일과 소셜 미디어 계정에 접속해 수사에 나섰다. 이를 통해 확보한 자료를 종합해 북한 해커들과 그들의 활동상을 파악했다.

박진혁은 컴퓨터 이용 사기 및 남용 혐의를 공모한 것으로 기소됐으며 이 혐의는 최대 5년형을 선고받을 수 있다. 또 다른 혐의로 적시된 인터넷뱅킹을 이용한 금융사기의 경우 최대 20년형이 나올 수 있다.

북한은 악성코드를 심은 이메일 등 다양한 방법을 동원한 것으로 조사됐다.

박진혁 등은 '소니 픽처스'가 2014년 김정은 북한 노동당 위원장의 암살을 다룬 영화 '인터뷰'를 제작하자 이에 대한 보복으로 해킹 공격을 단행했다. 소니 픽처스 직원들에게 악성 코드를 보낸 뒤 이를 통해 네트워크에 침투, 각종 자료를 빼내거나 파괴하고 수천 대의 컴퓨터를 훼손했다.

박진혁은 소니사에 대한 해킹 당시 페이스북이나 트위터 등 SNS 계정을 이용해 '인터뷰' 제작에 관여한 인사들에게 악성 코드가 담긴 링크를 보냈다.

이와 동시에 영화 배급사인 'AMC'에 대한 해킹도 시도했다. 당시 AMC는 '인터뷰' 상영을 연기하거나 취소했으며, 다만 AMC가 해킹에 뚫렸는지는 확인되지 않고 있다.

2016년 2월에는 방글라데시 중앙은행을 해킹해 8천100만 달러를 빼내 간 혐의를 받고 있다.

이들은 2015년부터 2018년까지 방글라데시 중앙은행을 포함해 다른 수 개의 은행들에 대해서도 해킹을 시도, 최소 10억 달러를 빼내 가려 했다고 당국은 밝혔다.

2017년에는 전 세계 수십만 대의 컴퓨터를 감염시킨 워너크라이 랜섬웨어 공격도 자행했다. 박진혁이 멤버로 활동한 라자루스는 지난해 5월 전 세계 150여 개국 30여만 대의 컴퓨터를 강타한 워너크라이 랜섬웨어 공격의 배후로 의심받아 왔다.

또 2016~2017년 악성코드가 담긴 이메일 등을 통해 미 대표적 방산업체인 록히드마틴을 비롯해 수개의 방산 관련 기업 등에 해킹도 시도했다. 특히 악성코드 이메일에는 주한미군이 배치한 사드(THAAD·고고도 미사일 방어체계) 관련 내용을 담아 시선을 끌었다. 사드는 록히드마틴이 제작사다. 그러나 미 정부는 공소장에서 록히드마틴에 대한 해킹 시도는 성공하지 못했다고 설명했다.

이번 수사에 참여한 FBI의 크리스토퍼 레이 국장은 "이번 (수사결과) 발표는 전 세계의 사이버 공격 뒤에 숨은 사악한 해커들과 국가들의 실체를 드러내고 그들의 활동을 중단시키기 위한 FBI의 쉼없는 헌신을 보여준다"고 자평했다.

또한, 북한의 조직적인 해킹 시도가 당분간 소강 국면을 보이다가 재개될 것이라는 전망도 이날 나왔다. 최근 주목받는 암호화폐를 활용한 범행 시도도 예상된다.

라자루스 그룹을 추적해온 미 디지털보안회사 시만텍사의 보안기술 분야 책임자인 에릭 친은 "북한 해커들은 이메일 조직망을 개편하기 위해 활동을 일시 중단한 것으로 보인다"고 말했다고 블룸버그통신은 전했다.

그는 "해커들은 잠시 소강상태를 보이다가 다시 돌아올 것으로 예상된다"라며 "그들은 지난해 암호화폐(가상화폐) 쪽으로 눈을 돌렸다"고 밝혔다.

/디지털뉴스부

디지털뉴스부기자의 다른 기사보기 >