북한이 국내 기업·연구소 등을 해킹해 우리 군의 무기 기술을 비롯한 첨단 과학기술 250여 건을 탈취한 것으로 4일 확인됐다. 서울경찰청 안보수사지원과는 이날 북 해킹 조직 ‘안다리엘(Andariel)’이 작년 12월부터 지난 3월까지 국내 방산 업체와 대기업 자회사, IT 기업, 기술원, 연구소, 제약 회사, 대학 등 수십 곳을 해킹해 1.2TB(테라바이트) 분량의 파일을 빼낸 것으로 조사됐다고 밝혔다. 이번에 북한이 해킹한 파일 중엔 우리 군이 개발한 레이저 대공 무기와 무기 제작 계획서도 포함됐다. 안다리엘은 해킹 사실을 볼모로 일부 기업을 협박해 돈을 받고 북한으로 송금했다고 한다. 안다리엘은 지난 2008년부터 국방 등 한국의 안보 분야를 주로 해킹해온 북한의 해킹 그룹이다.
경찰에 따르면 안다리엘은 수사기관의 추적을 피하기 위해 신원이 명확하지 않아도 가입할 수 있는 국내 서버 임대 업체를 악용했다. 구글 등 국내외 이메일 계정으로 서버를 임대하고, 이를 해킹의 거점으로 삼았다. 이들이 가입한 이메일 등을 역추적한 결과 접속지가 ‘조선민주주의인민공화국 평양 류경동’인 것으로 드러났다. 이들은 류경동에서 총 83회 접속한 것으로 알려졌다. 류경동은 북한 최고층 건물인 류경호텔이 있는 곳으로, 국제통신국과 평양정보센터 등이 있다. 경찰 관계자는 “해킹 정보를 추적해도 평양에서 접속했다는 사실이 직접 드러나는 경우는 매우 드물다”고 했다.
안다리엘의 해킹은 방산 분야에서 광범위하게 이뤄졌다. 공격용인 레이저 대공 무기와 무기 제작 계획서뿐 아니라 적의 공격을 탐지하는 각종 탐지기 관련 파일도 해킹됐다고 한다.
레이저 대공 무기는 ‘한국형 스타워즈’라 불리는 드론 요격용 레이저포다. 우리 군은 지난 4월 북한 소형 무인기 격추용으로 레이저 대공 무기를 개발했고 내년부터 본격적인 양산에 들어갈 예정이다. 군은 이 무기의 기능을 향상시켜 대형 무인기, 전투기 요격에도 사용한다는 계획을 세웠다. 이 기술을 제목으로 한 압축 파일은 북한에 통째로 해킹당한 것으로 알려졌다. 북한 해커가 빼돌린 기술이 개발 완료된 것인지, 미완성인지는 확인되지 않았다. 경찰 관계자는 “파악한 피해 업체가 수십 곳이지만 대부분 피해를 당한 줄도 모르고 있었다”며 “일부 기업은 신뢰도 하락을 우려해 피해를 알고도 신고하지 않기 때문에 실제 피해 규모는 더 클 것으로 보인다”고 했다.
안다리엘은 지난 2021년 국내외 업체 세 곳에 랜섬웨어를 퍼트린 뒤 컴퓨터 시스템을 망가트리고, 이를 복구하는 대가로 4억7000만원의 비트코인을 갈취하기도 했다. 경찰에 따르면 안다리엘은 피해 업체에 코인 계좌를 전달해 돈을 뜯어낸 뒤 빗썸과 바이낸스 등 국내외 거래소 등을 여러 번 거치는 방법으로 세탁했다. 이후 홍콩에 있는 환전업체 직원 A씨의 계좌를 통해 코인을 일부 중국 돈으로 환전했다. 환전된 돈 63만위안(약 1억1000만원)은 중국 랴오닝성을 거점으로 하는 중국 K은행 계좌로 보내졌다. 북·중 접경 지역인 랴오닝성 단둥시에 있는 K은행 한 지점에서 금액이 전부 출금됐다고 한다. 경찰은 이 현금이 북한으로 흘러들어 간 것으로 추정하고 있다. 경찰은 현금화가 포착되지 않은 나머지 3억원의 자금을 추적 중이다.
이번 안다리엘 수사는 미 연방수사국(FBI)이 지난 2021년 미국 캔자스주 등의 의료 시설을 공격한 해커를 수사하던 중 발견한 단서에서 시작됐다. CNN 보도에 따르면 당시 북한 해커들은 코로나 시기에 랜섬웨어 ‘마우이(Maui)’를 퍼트려 미국 병원 서버를 마비시키고 대가를 요구해 총 50만달러(약 6억5000만원)를 가로챘다. 이 사건을 수사하던 FBI가 “해킹과 관련된 이메일과 서버 등이 한국에 있다”며 공조를 요청했고 올해 초 국내 수사가 본격적으로 시작됐다.
보안업계에 따르면 안다리엘은 김수키(Kimsuky), 라자루스(Lazarus)와 함께 한국을 대상으로 2008년부터 활발하게 활동하고 있는 해킹 그룹이다. 안랩에 따르면 안다리엘은 2013년 국내 전산망 장애를 일으켰고, 2016년에는 대기업 전산망과 군을 해킹했다. 2020년과 2021년엔 국방 분야와 대학, 통신, IT 서비스 분야를 공격했다. 특히 2021년 공격 당시 한국항공우주산업(KAI)을 해킹해 국산 전투기 KF-21 관련 정보를 탈취한 것으로 알려졌다.
김승주 고려대 정보보호대학원 교수는 “방산 업체가 해킹 피해를 입었다는 것은 그 중요성에 대해 인지하지 않았다는 것밖에 안 된다”며 “연구하는 개인이 안보에 대한 경각심을 높여야 한다”고 했다.