미국 정부가 북한이 유포한 컴퓨터 악성코드, 즉 멀웨어에 대한 광범위한 수사를 진행한 사실이 최근 공개된 법원 문서를 통해 확인됐습니다. 멀웨어에 감염된 미국 내 컴퓨터들을 대상으로 수색 영장을 집행하고, 이들을 미 연방수사국(FBI)의 인터넷망에 연결시키는 등의 방식으로 수사를 한 것으로 나타났습니다. 함지하 기자가 전해 드립니다.
지난해 10월 미 연방법원은 북한의 해커들이 제어해 온 멀웨어 ‘조냅(Joanap)’ 수사와 관련된 수색영장 집행을 허가했습니다.
‘조냅’에 감염된 컴퓨터들을 밝혀내고, 이들을 미 연방수사국(FBI)에 연결시키도록 해달라는 미 중부 캘리포니아 연방 검찰의 요청을 승인한 겁니다.
수색 영장의 집행 기간은 지난달 30일까지로 정해졌는데, 법무부는 집행 마지막 날인 이날 영장 승인 서류와 검찰의 최초 영장 신청서를 일반에 공개했습니다.
당시 법원은 해당 수색영장을 허가하는 서류에서 “조냅에 감염된 컴퓨터들에서 얻게 되는 IP 주소와 그 외 관련 정보들을 통해 증거를 확보할 것이라는 상당한 근거가 있다”고 설명했습니다. 그러면서 ‘미국 정부가 수사 중인 북한의 주체’가 해당 범죄를 일으켰지만, 이 ‘북한의 주체’는 밝혀내지 못한 상황에서 현재 중부 캘리포니아 지부가 수사를 진행하고 있다고 덧붙였습니다.
수색영장이 집행될 컴퓨터들은 중부 캘리포니아를 비롯해 남부 텍사스와 남부 인디애나, 남부 오하이오, 유타, 중부 플로리다 등 최소 5개 지역에 분포돼 있는 것으로 나타났습니다.
이후 이들 컴퓨터들은 FBI가 사용 중인 IP주소에 연결돼, 이들이 교신 중인 또 다른 컴퓨터의 IP 주소를 기록하는 등의 역할을 한다고 법원 측은 밝혔습니다.
이를 통해 FBI가 조냅에 감염된 IP 주소들을 찾아내고, 궁극적으로 감염된 컴퓨터들의 지도망을 구축하겠다는 겁니다.
최초 검찰이 영장을 신청한 서류를 통해서도 조냅의 배후가 북한이며, 관련인들을 밝혀내기 위한 광범위한 수사가 진행돼 왔다는 사실이 확인됐습니다.
신청서를 작성한 검찰 측은 “컴퓨터 네트워크를 손상시키고, 해당 네트워크를 이용한 특정 인물은 아직 밝혀내지 못했다”면서도 “해당 멀웨어는 악의를 가진 북한의 사이버 행위자가 개발하고 이용한 것으로 알려져 있다”고 지적했습니다.
그러면서 그 근거로 미 ‘국립 사이버보안과 커뮤니케이션 통합센터’가 발행한 주의보를 내세웠습니다. 지난해 5월29일 발표된 해당 주의보는 조냅이 북한 사이버 행위자들에 의해 나왔으며, 북한의 많은 멀웨어 도구 중 하나라고 지목했었습니다.
신청서에는 수사가 어떤 방식으로 진행됐는지 설명하는 FBI 요원의 진술서도 포함됐습니다.
해당 진술서에 따르면 이 요원은 미 공군 특별수사처 요원과 함께 지난 6월11일 최초 수색 영장을 발부 받아 수사에 나섰습니다.
이후 9월까지 추가로 2차례 영장을 허가 받아 조냅에 감염된 IP 주소를 찾아냈고, 이런 방식으로 지난해 10월16일 현재 2천398개의 감염 IP 주소와 직접 감염을 시키는 123개의 서버 IP를 밝혀냈다고 해당 요원은 명시했습니다.
미 법무부는 지난달 30일 발표한 보도자료에서 악의적인 사이버 활동을 일삼는 북한의 해커들이 통제해 온 '조냅 감염 컴퓨터'들을 밝혀내고, 이를 근절하기 위한 광범위한 노력을 발표한다면서, 이번 조치가 지난해 기소된 북한 해커 박진혁에 이은 추가 조치라고 설명했습니다.
존 데머스 법무부 차관보는 전 세계 컴퓨터들은 여전히 북한 정권과 연계된 ‘악성코드 통제 컴퓨터’ 즉 ‘봇넷’에 감염된 상태라면서 “이번 작전을 통해 데이터의 기밀성과 완전성, 가용성에 대해 북한 정부 해커들이 가하는 위협을 근절하기 위해 노력하고 있다”고 말했습니다.
이어 “이번 작전은 법무부가 국가 안보에 해를 가하는 사람들에게 기소를 포함한 모든 도구를 사용할 것이라는 점을 보여주는 또 다른 예”라고 덧붙였습니다.
앞서 법무부는 지난해 9월 ‘소니 영화사’와 방글라데시 금융기관, 랜섬웨어인 ‘워너크라이’ 등 다수의 해킹 공격에 연루된 북한 국적자 박진혁을 같은 해 6월 기소하고, 수배를 내렸다는 사실을 공개한 바 있습니다.
박진혁의 혐의 내용이 담긴 기소장은 총 179쪽에 이르며, 여기에는 박진혁이 각종 해킹 공격을 감행할 당시 이용한 약 100개의 이메일 계정과 함께 어떤 방식으로 다른 컴퓨터에 악성코드를 심었는지 등의 상세한 과정이 담겼었습니다.
VOA 뉴스 함지하입니다.
