|
경찰에 따르면 안다리엘은 피해업체 3곳을 대상으로 랜섬웨어를 통한 컴퓨터 시스템 복구 대가로 4억 7000여만원 상당의 비트코인을 갈취했다. 이렇게 빼앗은 비트코인 중 일부는 해외 가상자산 거래소를 거쳐 자금세탁 후 북한에 보내진 것으로 추정된다. 경찰은 자금 세탁책으로 의심되는 외국인 여성 A씨에 대해 수사를 확대하고 있다.
경찰은 북한 해킹조직 안다리엘을 추적 중이던 미 FBI와 공조해 해커가 사용한 구글 메일 계정을 수사한 결과, 이들이 수사기관의 추적을 피하고자 신원이 명확하지 않은 가입자에게도 서버를 임대해 주는 국내 서버임대업체를 경유지 서버로 활용해 해킹 거점으로 활용한 것으로 파악됐다. 이 과정에서 2022년 12월부터 2023년 3월까지 평양 류경동에서 총 83회 접속한 사실을 밝혀냈다.
경찰은 해킹 경유지로 사용된 국내 임대서버와 구글 등 국내·외 이메일을 압수수색하고 서버 가입자 정보를 근거로 40여 회에 걸친 통신수사를 진행했다. 그 결과 방산업체, 연구소, 제약업체 등을 해킹해 레이저 대공무기 등 중요 기술자료뿐만 아니라 서버 사용자 계정의 아이디·비밀번호 등 개인정보도 탈취한 것을 확인했다.
경찰은 국가·산업적으로 중요한 기술과 자료가 담긴 것으로 추정되는 총 1.2TB 분량(풀 HD급 영화 230여 편 이상의 분량)의 파일이 탈취된 피해 사실을 밝혀낸 뒤, 해당 업체들에 통보했으나 피해조차 인지하지 못한 곳이 대부분일 정도로 무방비인 것으로 드러났다. 일부 기업은 신뢰도 하락을 우려해 경찰에 피해 신고를 하지 않는 경우도 있었다.
안다리엘이 유포한 악성 랜섬웨어의 몸값으로 피해업체가 지불한 비트코인의 자금흐름과 관련 빗썸·바이낸스 등 국내외 거래소 거래내력을 압수해 분석한 결과, 갈취된 비트코인 중 일부가 외국인 여성 A씨의 계좌를 거쳐 중국 요녕성에 소재한 중국 K은행으로 약 63만위안(1억 1000만원 상당)이 송금된 것으로 밝혀졌다. 경찰은 이 돈이 북·중 접경지역에 위치한 K은행 지점에 출금된 것으로 보아 해당 자금이 북한으로 들어간 것으로 추정하고 있다.
이에 A씨를 피의자로 입건하고 금융계좌, 휴대폰, 주거지 등에 대해 동시다발적으로 압수수색을 진행해 5만여 건의 파일을 압수해 안다리엘의 자금세탁책 여부에 대해 심층 조사하고 있다. A씨는 과거 홍콩 소재 환전업체 직원으로 근무 시, 편의상 본인계좌를 거래에 제공해준 것일 뿐이라며 연루 여부 등 혐의를 진술 과정에서 부인하고 있는 것으로 알려졌다.
경찰 관계자는 “이번 사건에서 확인된 해외 공격, 피해지, 관련자에 대해 미 FBI 등 관계기관과 적극적으로 국제 공조 수사를 진행하는 한편 추가 피해 사례 및 유사 해킹 시도 가능성에 대해서도 계속 수사할 예정”이라고 했다. 이어 “피해업체를 대상으로 보안 취약점 점검 및 최신 버전의 보안 소프트웨어 업데이트, 개인정보를 포함한 중요 전산 자료 암호화 등 추가 피해 예방을 위한 보안조치를 강조했다”고 덧붙였다.