FBI 떠나도 북한 해커 추적한 美 요원…"1급 군사비밀만큼 중요"

전직 FBI 요원 에릭 커의 4년에 걸친 북한 해커 추적기가 소개됐다. 북한 해커 '하데스'는 병원 서버를 공격해 진단·치료에 필요한 네트워크와 장비를 먹통 시킨 후 1억5000만원에 달하는 금품을 요구했다. 커는 FBI를 떠난 이후에도 하데스를 잡기 위해 추적 수사를 지속했다.

미국의 일간 월스트리트저널(WSJ)이 19일(현지시간) 전직 FBI 요원 에릭 커의 4년에 걸친 북한 해커 추적기를 소개했다. 커는 지난 2023년 FBI를 떠났지만 북한 해커 '하데스' 관련 미완 수사를 포기하지 못했다. 하데스는 한국에는 익히 이름이 알려진 북한 정찰총국 산하 해킹그룹 안다리엘 소속의 해커다.

커가 하데스 수사를 포기하지 못한 이유는 북한 해커들의 병원 보안 시스템 공격 때문이었다. 간호사 어머니와 의료업계 정보기술(IT) 기술자인 아버지 밑에서 자란 그에게 북한 해커가 공격한 병원 보안 시스템은 '1급 군사비밀'만큼이나 중요했다.

하데스는 2021년 5월 4일 미 캔자스주의 한 병원 서버를 공격해 누구도 접근할 수 없도록 시스템을 잠갔다. 그 결과 수면 검사실을 포함해 진단·치료에 필요한 네트워크와 장비가 먹통이 됐다. 컴퓨터·네트워크를 해킹해 마비시킨 뒤 이를 복구하는 대가로 돈을 요구하는 랜섬웨어 공격이었다.

하데스는 병원 측에 10만 달러(현재 환율로 약 1억5000만원) 가치의 비트코인 2개를 요구했다. 48시간 내 비트코인을 주지 않으면 20만 달러를 내야 할 것이라는 경고했다. 병원은 하데스에 비트코인 2개를 넘겼다.

중국 은행으로 이체된 비트코인은 중국 단둥 인근의 현금자동입출금기(ATM)에서 인출됐다.
미국 정부는 이 사건을 기소하면서 사건을 주도한 림종혁의 이름과 사진을 공개했지만 신원을 특정하지 못한 하데스는 '공모자 1'로 남았다.

커는 북한 해커들의 병원 보안 시스템 공격에 경각심을 느꼈다. 커는 WSJ에 "해킹 공격으로 병원 시스템이 먹통돼 아픈 아이가 치료를 받을 수 없게 된다면 어떡하죠?"라고 말했다.

커는 하데스를 추적하기 위해 '암호화폐 카지노' 개장을 준비하는 척했다. 북한 출신 해커들에게 동업을 제안해 안다리엘 수사 과정에서 확보한 정보들 바탕으로 공모자 1로 의심되는 용의자를 추렸다.

그는 지난 7월 접촉한 북한 해커가 '하데스'일 것이라고 확신하는 중이다. 해당 북한 해커는 하데스가 소셜미디어 프로필 등에서 사용한 용어들을 그대로 사용했다. 하데스와 같은 전화번호를 사용한 정황도 감지됐다. 그 용의자는 스스로 돈세탁 시스템을 만들어주겠다고 커에게 제안했다. 과거 랜섬웨어를 개발해 100만 달러 이상을 벌었다고 과시도 했다.

암호화폐·사이버보안 전문가들은 이처럼 북한 해커들이 미국 기업의 IT 인력으로 위장 취업해 범행을 저지르는 사례가 많을 것이라고 강조한다. '침입'보다 더 큰 범행을 저지르기 위해 시스템 접근 권한을 확보하는 것이 북한 해커의 목표라는 의미다. 커는 20일 워싱턴 D.C.에서 열리는 한 콘퍼런스에서 지금까지 확보한 증거를 공개할 예정이다.

박수빈 한경닷컴 기자 waterbean@hankyung.com