지명수배된 북한 해커그룹 안다리엘 리더 림종혁. 엑스 화면 캡처. 

"해킹 공격으로 병원 시스템이 먹통돼 아픈 아이가 치료를 받을 수 없게 된다면 어떡하죠?"

그가 미국 연방수사국(FBI)을 떠난 뒤에도 북한 해커 '하데스'를 추적 중인 이유는 단순했지만 명료했다.

간호사 어머니와 의료업계 정보기술(IT) 기술자인 아버지 밑에서 자란 그에게 북한 해커가 공격한 병원 보안 시스템은 '1급 군사비밀'만큼이나 중요했다.

미국의 일간 월스트리트저널(WSJ)은 19일(현지시간) 전직 FBI 요원 에릭 커의 4년에 걸친 북한 해커 추적기를 소개했다.

FBI에서 사이버보안 관련 업무를 했던 커는 2023년 직장을 떠났지만 아직까지 포기 못한 '미완 수사'가 있다. 북한 해커 '하데스'의 정체를 밝히는 것이다.

하데스는 한국에는 익히 이름이 알려진 북한 정찰총국 산하 해킹그룹 안다리엘 소속의 해커다.

하데스는 2021년 5월 4일 미 캔자스주의 한 병원 서버를 공격해 누구도 접근할 수 없도록 시스템을 꽁꽁 잠가 버렸다. 수면 검사실을 포함해 진단·치료에 필요한 네트워크와 장비가 먹통이 됐다. 컴퓨터·네트워크를 해킹해 마비시킨 뒤 이를 복구하는 대가로 돈을 요구하는 이른바 랜섬웨어 공격이었다.

하데스는 병원 측에 10만 달러(현재 환율로 약 1억5천만원) 가치의 비트코인 2개를 주면 시스템을 정상화해주겠다고 했다. 48시간 내 비트코인을 주지 않으면 20만 달러를 내야 할 것이라는 경고도 덧붙였다.

결국 병원은 하데스에 비트코인 2개를 넘겨줬다. 중국 은행으로 이체된 비트코인은 중국 단둥 인근의 현금자동입출금기(ATM)에서 인출됐다.

미국 정부는 이 사건을 기소하면서 사건을 주도한 림종혁의 이름과 사진을 공개했지만 신원을 특정하지 못한 하데스는 '공모자1'로 남겨졌다.

신분위장 북한 IT인력. 연합 일러스트

북한 해커들의 병원 보안 시스템 공격에 경각심을 느낀 커가 FBI 동료와 함께 베일에 싸인 '공모자 1'을 추적하기로 마음먹은 이유다.

그는 '암호화폐 카지노' 개장을 준비하는 척하며 북한 출신 해커들에 동업을 제안했다. 그러면서 안다리엘 수사 과정에서 확보한 정보들을 토대로 '공모자 1'로 의심되는 용의자를 추려 나갔다.

그는 지난 7월 접촉한 북한 해커가 '하데스'일 것이라고 확신하고 있다. 그는 하데스가 소셜미디어 프로필 등에서 사용한 용어들을 그대로 사용했다. 하데스와 같은 전화번호를 사용한 정황도 감지됐다.

그 용의자는 스스로 돈세탁 시스템을 만들어주겠다고 커에게 제안하는가 하면, 과거 랜섬웨어를 개발해 100만 달러 이상을 벌었다고 과시하기도 했다.

암호화폐·사이버보안 전문가들은 이처럼 북한 해커들이 미국 기업의 IT 인력으로 위장 취업해 범행을 저지르는 사례가 많을 것이라고 강조한다. '침입'보다 더 큰 범행을 저지르기 위해 시스템 접근 권한을 확보하는 것이 북한 해커의 목표라는 것이다.

커는 20일 워싱턴 D.C.에서 열리는 한 콘퍼런스에서 지금까지 확보한 증거를 공개할 계획이다.

연합뉴스