북한, 미 의료기관 겨냥 '변종' 랜섬웨어 공격...법무부 "50만 달러 회수"

북한 해커들이 미 의료기관을 상대로 ‘랜섬웨어’ 공격을 가했지만 미 연방수사국의 대처로 피해액 50만 달러를 회수했다고 미 법무부 부장관이 밝혔습니다. 북한의 사이버 공격 형태가 진화했다면서, 정교한 수사와 추적을 통해 범인을 확인하고 피해를 최소화했다고 강조했습니다. 함지하 기자가 보도합니다.

북한 해커들은 지난해 ‘마우이’라는 이름의 새 랜섬웨어를 이용해 미국 의료기관과 병원 등에 사이버 공격을 감행했습니다.

리사 모나코 미 법무부 부장관은 19일 뉴욕 포댐대학에서 열린 ‘국제 사이버안보 콘퍼런스(ICCS)’ 기조연설에서 북한 정권 소속 해커들이 미국 의료기관들에 ‘랜섬웨어’ 즉 컴퓨터 데이터를 암호화해 일종의 몸값 지급을 요구하는 사이버 범죄 행위를 저질러 미 법무부와 연방수사국(FBI)이 대응에 나선 사실을 공개했습니다.

모나코 부장관은 “지난해 캔자스의 한 병원은 너무 많은 주요 사회기반시설 운영자들이 직면하고 있는 두려운 상황을 경험했다”며 관련 내용을 소개했습니다.

구체적으로는 “북한 정권의 지원을 받는 사이버 행위자들이 중요한 데이터를 저장하고 주요 장비를 운용하는 데 사용하는 서버를 암호화했다”며 “해커들은 ‘몸값(ransom)’ 지급을 요구하는 쪽지를 남기면서 48시간 안에 이를 두 배로 늘릴 것이라고 위협했다”고 밝혔습니다.

[모나코 부장관] “Last year, a medical center in Kansas experienced the dread that faces too many critical infrastructure operators. North Korean state-sponsored cyber actors encrypted the hospital’s servers – servers being used to store critical data and to operate key equipment. The attackers left behind a note demanding ransom, and they threatened to double it within 48 hours. In that moment, the hospital’s leadership faced an impossible choice – give in to the ransom demand or cripple the ability of doctors and nurses to provide critical care. Left with no real choice, the hospital’s leadership paid the ransom.”

이어 “당시 병원 운영진들은 몸값 요구에 굴복하거나 의사, 간호사의 중요한 치료 제공 능력을 손상시켜야 하는 불가능한 선택에 직면했다”며 “선택의 여지가 없었던 병원 운영진은 몸값을 지불했다”고 설명했습니다.

다만 “그들은 (몸값 지급과) 동시에 FBI에도 알렸다”면서 “이는 그들 자신과 미래의 피해자들을 위해 옳은 일이었다”고 덧붙였습니다.

[모나코 부장관] “But they also notified the FBI, which was the right thing to do for themselves and for future victims. The FBI and Justice Department prosecutors immediately got to work on what was then a never-before-seen ransomware variant. They traced the ransom payment through the blockchain – just as we did in the aftermath of the attack on the Colonial Pipeline. Following the crypto-breadcrumbs, the FBI identified China-based money launderers – the type who regularly assist North Koreans in “cashing out” ransom payments into fiat currency. Additional blockchain analysis revealed that these same accounts contained other ransom payments. The FBI traced those to another medical provider in Colorado and potential overseas victims.”

모나코 부장관은 “FBI와 법무부 검사들은 ‘한 번도 본 적 없는’ 변종 랜섬웨어에 대한 작업에 착수하고, 미 송유관 관리업체 콜로니얼 파이프라인에 대한 공격 이후 그랬던 것처럼 블록체인을 통해 지불된 몸값을 추적했다”고 밝혔습니다.

이어 몸값이 이동한 흔적을 토대로 FBI는 중국에 기반을 둔 자금세탁 행위자들을 밝혀냈는데, 이들은 정기적으로 북한인들이 몸값을 실제 화폐로 현금화하도록 돕는 인물들이었다고 소개했습니다.

또 “추가 블록체인 분석을 통해 이들 계좌에 다른 몸값이 포함된 것으로 드러났다”며 이를 통해 “FBI는 콜로라도의 다른 의료기관과 잠재적인 해외 피해자들도 찾았다”고 덧붙였습니다.

모나코 부장관은 “이 모든 조사는 몇 주전 끝났다”면서 “돈세탁 계좌에서 약 50만 달러의 몸값과 이 자금을 세탁하는 데 사용된 암호화폐를 압류했다”고 말했습니다.

[모나코 부장관] “Now, all this digital sleuthing paid off several weeks ago: from the money laundering accounts, we seized approximately half a million dollars in ransom payments and cryptocurrency used to launder those payments. This recovery includes all the ransom paid by the Kansas medical center, plus what we believe are ransoms paid by other victims, including that medical provider in Colorado. And as a result of all this work, the FBI, and their partners at CISA and Treasury, shared the fruits of their investigation in a joint Cybersecurity Advisory regarding the Maui threat.

그러면서 압류한 자금에는 “캔자스 병원이 지불한 몸값과 더불어 콜로라도의 병원 등 다른 피해자들이 지불한 것으로 보이는 몸값도 포함돼 있다”고 설명했습니다.

또 “이 모든 일로 인해 FBI와 사이버안보·기반시설안보국(CISA), 재무부는 합동 사이버 주의보에 ‘마우이’로 인한 위협과 관련한 수사 결과를 공유할 수 있었다”고 말했습니다.

모나코 부장관은 최초 북한의 랜섬웨어 피해를 입은 캔자스의 병원이 FBI에 연락을 취한 사실을 거듭 강조하며 이는 “옳은 일이었다”고 평가했습니다.

그러한 결정을 통해 지불된 몸값과 과거 다른 피해자의 자금을 회수하고, 이전에 확인되지 않던 변종 랜섬웨어를 밝혀낼 수 있었다는 것입니다.

모나코 부장관은 이번 사례를 계기로 악의적 사이버 활동에 대응한 새로운 기법을 활용하는 것이 중요하다고 강조했습니다.

[모나코 부장관] “This example and others over the last year show that we can and should borrow the tools we use in other spaces. And that is exactly what we are doing – the department is applying its successful approaches to the threats of the past to the cyber threats of today. Like our approach to terrorism, we must be intelligence-led, threat-driven and laser-focused on preventing the next victim of malicious cyber activity.

특히 “법무부는 과거의 위협에 대한 성공적인 접근법을 오늘날 사이버 위협에도 적용하고 있다”며 “테러에 대한 접근법과 마찬가지로 악의적인 사이버 활동으로 인한 피해를 예방하기 위해 우리는 정보 주도적이자 위협 중심적이 돼야 하며 극도로 집중해야 한다”고 말했습니다.

VOA 뉴스 함지하입니다.