경찰이 4일 국내 방산업체 등 수 곳을 해킹해 기술을 탈취한 북한 해킹조직 ‘안다리엘’을 수사 중이라고 밝혔다.

서울경찰청 안보수사지원과는 이날 미국 연방수사국(FBI)과 공조해 안다리엘이 통신 보안 IT 서비스 등을 하는 국내 대기업 자회사, 첨단과학기술·식품·생물학 등을 다루는 국내 기술원·연구소, 대학교, 제약회사, 방산업체, 금융회사 등 수십여 곳을 해킹해 레이저 대공무기를 비롯한 주요 기술 자료를 빼돌렸다고 전했다. 또한 안다리엘이 서버 사용자 계정의 아이디·비밀번호 등 개인정보도 탈취했다고 밝혔다.

경찰은 총 1.2테라바이트(TB) 분량의 기술·자료 파일이 해킹된 것으로 확인했다. 해당 업체들이 경찰 통보 전 대부분 위 사실을 인지하지 못한 상태였으며 기업 신뢰도 하락을 우려해 피해 신고를 하지 않은 곳도 있었다.

또한 안다리엘은 랜섬웨어를 유포해 국내 업체 3곳에서 컴퓨터 시스템 복구비로 4억 7천여만원 상당의 비트코인을 갈취한 것으로 조사됐다. 이 중 일부는 해외 가상자산 거래소를 거쳐 자금 세탁 후 A씨 계좌를 통해 북한으로 보내진 것으로 추정된다. 

경찰은 갈취된 비트코인 중 1억1000만원 상당이 A씨 계좌로 송금된 후 북한과 중국의 접경지역에 있는 랴오닝성 소재 은행에서 출금된 사실을 확인했다. A씨는 과거 홍콩의 한 환전업체 직원으로 근무할 때 편의상 자신 명의의 계좌를 거래에 제공했을 뿐이라고 혐의를 부인하고 있다. 경찰은 현재 A씨를 피의자 입건 후 그의 주거지, 금융계좌 등에 대해 압수수색해 5만여 건의 파일을 압수 후 수사 중이다.

북한 소행으로 특정할 수 있는 단서는 IP주소 추적 과정에서 나왔다. 해커가 사용한 구글 이메일 계정을 조사한 결과, IP주소의 소재가 ‘조선민주주의인민공화국 평양 류경동(柳京洞)’으로 나타났기 때문이다. 지난해 12월부터 올해 3월까지 총 83회 접속한 흔적이 있었다. 류경동은 북한 최고층 건물인 류경호텔과 류경 정주영체육관 등이 위치해 평양 시내 명소로 꼽히는 지역이다. 

서울경찰청 관계자는 "FBI 공조 수사를 통해 서버 임대업체 및 추가 피해 사례 가능성 등 수사를 이어 나갈 것"이라고 했다.

심민섭 기자 darklight_s@naver.com