보안

교묘해지는 北 사이버 공격…안다리엘 소속 해커에 '현상금 138억원'

김보민 기자

[ⓒ미 국무부 '정의에 대한 보상' 홈페이지]

[디지털데일리 김보민기자] 북한 정찰총국 산하 해킹조직 안다리엘 소속 해커에 130억원대 현상금이 걸렸다. 이 해커는 미국 중요 인프라를 대상으로 사이버 활동을 펼친 혐의를 받고 있다.

25일(현지시간) 미 연방수사국(FBI)는 북한 국적 림종혁이 캔자스주 연방 지방법원에서 컴퓨터 해킹 등 혐의로 기소됐다고 밝혔다. 이와 관련해 연방 체포 영장 또한 발부됐다고 설명했다.

림종혁 신원과 위치 관련 정보에는구 최대 1000만달러(약 138억원) 현상금을 걸었다. FBI 측은 "(림종혁에 대한) 정보가 있으면 지역 FBI 사무실 혹은 가까운 미국 대사관 및 영사관에 연락을 달라"고 공지했다.

림종혁은 안다리엘 소속 해커로 활동한 것으로 알려졌다. 안다리엘은 평양과 신의주에 기반으로 두고 있는 북한 정찰총국 3국 산하 국가배후 해킹 조직으로, 림종혁은 랜섬웨어 소프트웨를 사용해 미국 병원, 의료회사 컴퓨터 등을 침입한 뒤 금전을 갈취했다. 해당 수익금은 사이버 해킹을 고도화하기 위해 인터넷 서버를 추가 구매하는 데 일부 활용됐다.

미 국무부에 따르면 안다리엘은 의료 서비스 업체, 미국 기반 방위 계약사, 미국 공군기지, 미 항공우주국(NASA) 감찰관실 등에 피해를 가했다. 림종혁은 이 과정에 동참한 것으로 파악된다.

공격 방식은 간단했다. 림종혁을 비롯한 북한 해커는 미국 병원과 의료 서비스 업체 시스템에 랜섬웨어를 설치했다. 랜섬웨어 공격 특성상 몸값을 요구하기로 공모했고, 추후 중요 컴퓨터를 암호화시키고 의료 서비스를 중단시키는 행위를 가했다.

한편 국가정보원(이하 국정원) 소속 국가사이버안보센터는 이날 미국, 영국과 함께 합동으로 합동사이버보안권고문을 공개해 북한 안다리엘의 해킹 활동을 소개했다.

권고문에는 FBI를 비롯해 미국 사이버사령부(CNMF), 미국 사이버인프라보안청(CISA), 미국 국방사이버범죄센터(DC3), 미국 국가안보국(NSA), 영국 국가사이버안보센터(NCSC)가 참여했다. 국정원과 대한민국 경찰청(NPA)도 이름을 올렸다.

권고문은 "안다리엘 해킹 조직은 주로 정권 군사 및 핵무기 개발을 위해 방산, 항공우주, 핵, 해양 등 공학 기관들을 대상으로 민감 기술 및 지적 재산을 절취한다"며 "정찰총국 3국 공격자는 미국 의료기관을 대상으로 랜섬웨어를 유포해 첩보 활동에 자금을 지원하고 있다"고 강조했다.

권고문에 따르면 안다리엘의 다른 이름은 오닉스슬릿(Onyx Sleet), 다크서울(Dark Seoul), 사일런트천리마(Silent Chollima), 스톤플라이(Stonefly) 등이 있다. 권고문에 참여한 기관들은 "미국과 한국을 겨냥한 파괴적 공격에서 전문화된 사이버 첩보 활동과 랜섬웨어 활동으로 진화했다"고 평가했다.

안다리엘은 국방 및 민간 애플리케이션의 계약 사양, 자재 명세서, 프로젝트 정보, 설계 도면, 엔지니어링 문서 등을 공격 대상으로 삼았다. 랜섬웨어는 물론 공개 악성코드, 자격증명 접근 등의 방식으로 위협을 가하고 있다.

권고문은 악성 활동에 대응하기 위해서는 보안 패치를 적시 적용하고, 웹쉘로부터 웹 서버를 보호하거나 악성 활동에 대한 엔드포인트를 모니터링할 필요가 있다고 제언했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널