FBI, 北해커들이 美병원에서 탈취한 50만 달러 추적해 전액 회수

리사 모나코 미국 법무부 부장관은 19일(현지 시각) 한 강연에서 북한 해커들이 '랜섬웨어'를 이용해 미국 의료기관의 정보를 암호화한 뒤 거액을 요구했으며, 의료기관들이 몸값 총 50만 달러를 송금했지만 연방수사국(FBI)이 이를 회수했다고 밝혔다. 사진은 지난 5월 경찰 간부 포럼에서 연설하는 모나코 부장관의 모습. /AP 연합뉴스

북한 해커들이 지난해 미국 의료기관 두 곳에 랜섬웨어 공격을 가해 약 50만 달러(약 6억5000만원)를 탈취했지만, 미 연방수사국(FBI)이 자금을 추적해 회수했다고 리사 모나코 법무부 부장관이 19일(현지 시각) 밝혔다. 모나코 부장관은 이날 뉴욕 포댐대에서 열린 ‘국제 사이버안보 콘퍼런스(ICCS)’의 기조연설자로 나서 북한의 진화하는 사이버 공격에 대해 말하면서 이같은 사례를 소개했다.

북한은 신종 랜섬웨어 ‘마우이’를 이용해 의료기관의 핵심 정보를 암호화해 접근을 차단한 뒤 이를 복원해 주는 대가로 거액을 요구했다. FBI는 캔자스주의 한 병원으로부터 피해 사실을 신고 받고 수사에 착수했다고 모나코 부장관은 전했다.

모나코 부장관은 “북한 정권이 지원하는 사이버 행위자들은 필수 정보를 저장하고 핵심 장비를 운영하는 데 사용되는 병원의 서버를 암호화했다”며 “공격자들은 (서버를 풀어주는 대가로) 몸값을 요구하는 메모를 남기고 48시간 내에 액수를 두 배로 올리겠다고 위협했다”고 말했다. 해당 서버의 정보 없이는 환자 치료가 불가능했기 때문에 병원 측은 몸값을 지불했지만 동시에 FBI에도 신고했다.

FBI와 법무부는 신종 랜섬웨어를 분석해 병원 측이 북한 해커들에게 지불한 암호화폐를 추적하기 시작했고, 북한 해커들이 암호화폐를 현금화할 때 자주 이용하는 중국의 돈세탁 업자 계좌에서 이를 찾아냈다. FBI는 이 계좌를 분석해서 콜로라도의 또 다른 의료기관과 해외의 다른 피해자들도 몸값을 지불한 사실을 알게 됐다고 한다.

모나코 부장관은 “돈세탁 계좌에서 약 50만 달러의 몸값과 이를 세탁하는 데 이용된 암호화폐를 압류했다. 캔자스 병원과 콜로라도의 의료기관을 포함한 다른 피해자들이 지불한 몸값을 다 회수한 것”이라고 말했다. 또 이번 수사 결과를 토대로 FBI와 국토안보부 산하 사이버안보·기반시설안보국(CISA), 재무부가 합동으로 지난 6일 마우이 랜섬웨어에 대한 합동 사이버 보안 경보를 할 수 있었다고 밝혔다.