미국 정부가 '박진혁'이라는 북한 국적 남성 프로그래머 1명을 해커조직 '라자루스(Lazarus) 그룹'의 일원으로 지목하고 최근 4년간 각국 은행, 기업, 기관 해킹과 악성코드 공격을 저지른 혐의로 기소했다. 기소장에는 그 대상인 박진혁의 실명, 얼굴사진, 사이버범죄 행적과 그에 동원된 이메일 및 소셜미디어 계정 정보가 담겼다.
미국 법무부는 지난 6일 "북한 체제의 지원을 받고 있는 프로그래머를 복수의 사이버 공격 및 침입 행위를 모의한 혐의로 기소했다"며 "북한 해킹 조직은 워너크라이 랜섬웨어 공격, 소니픽처스엔터테인먼트(SPE)를 대상으로 한 파괴적 사이버공격, 방글라데시에서 발생한 중앙은행 사이버절도, 기타 악의적 활동에 책임이 있다"고 공식 발표했다.
발표에 따르면 박진혁은 컴퓨터 사기 및 남용 모의 1건, 온라인 사기(wire fraud) 모의 1건에 해당하는 범죄 혐의로 기소됐다. 각각 최대 5년, 20년의 징역형을 선고받을 수 있는 혐의다.
존 데머스 법무차관은 "북한 정부는 국가 지원 조직을 통해 다른 나라의 중앙은행과 시민 재산을 강탈하고 언론 자유에 반하는 보복 공격을 저질렀으며 150개국 이상에 수억달러에 달하는 무차별적 피해를 입힌 악성코드를 제작했다"면서 "이 수사에 함께 노력해 온 FBI 요원, 법무부 검사, 국제 파트너들에게 감사한다"고 말했다.
이날 미국 법무부 산하 정보수집 및 수사기관인 연방수사국(FBI) 특수요원이 박진혁을 기소한 공소장이 공개됐다. 공소장은 박진혁이 수차례 세계 각지에 다수 컴퓨터 하드웨어 손상과 광범위한 데이터, 금전, 기타 자원의 손실을 초래한 파괴적 사이버 공격의 감행에 연루돼, 범죄 모의와 온라인 사기 모의 관련 미국 연방법(U.S.C.)을 위반했다는 혐의를 담고 있다. 박진혁이 북한 정부 후원을 받는 해커조직 라자루스그룹의 일원이자 북한 정부가 운영한다고 알려진 조선엑스포합영회사(Chosun Expo Joint Venture) 재직자로서 북한 정부의 악의적 사이버활동을 지원했다는 주장이다.
크리스토퍼 레이(Christopher Wray) FBI 국장은 "우리는 협력자들과 함께 북한 정부를 파괴적인 글로벌 사이버 활동의 배후 세력으로 지목했다"며 "이 그룹은 세계 공공 및 민간 산업계를 상대로 수백만달러를 훔치고, 언론 자유를 위협하고, 병원 시스템을 손상시키는 행동을 벌인다는 점으로 특히 악명높다"고 평했다.
미국 법무부의 공소장 발표 1주일 전 FBI가 홈페이지에 박진혁을 수배 대상으로 등재했다. FBI 수배전단을 보면 박진혁의 최종 신분은 북한 국적자로 북한 평향 소재 김책공과대학교를 다녔고, 지난 수년간 조선엑스포합영회사에 다니면서 표면상 합법적인 IT업종 종사자로 활동하며 중국을 다녀간 동시에 북한의 군 정보기관인 정찰총국에서 지휘한 활동에도 복무했다. 그를 포함한 북한 정부를 배후로 활동한 해커조직은 SPE 사이버공격, 각국 은행으로부터 10억달러 이상 탈취를 시도한 표적공격, 세계 수십만대 PC를 감염시킨 워너크라이 랜섬웨어 공격 등에 책임이 있다.
FBI는 "박진혁은 북한 정부가 운영하는 회사에 고용된 해커조직에 의해 광범위하게 저질러진 범죄 모의(conspiracy)에 가담한 것으로 추정된다"면서 "조선엑스포합영회사는 북한 해킹조직 중 하나인 랩110과 연계된 전위회사이자 일부 민간 사이버보안연구원들이 라자루스그룹이라 분류한 해킹그룹"이라고 지적했다. 또 "2018년 6월 8일 미국 캘리포니아 중앙지구 연방지방법원에서 온라인 사기 범죄 모의 1건과 컴퓨터 관련 사기(컴퓨터 침입) 범죄 모의 1건의 혐의를 받은 박진혁에게 연방 체포영장이 발부됐다"고 설명했다.
조선엑스포합영회사의 전신은 2002년 당시 한국 남북경제협력사업자였던 '훈넷'과 북한 '장생무역총회사'가 공동출자해 설립한 '조선복권합영회사'다. 조선복권합영회사는 인터넷복권사업과 전자상거래사업을 목적으로 출범했다. 그러나 2004년 한국 통일부가 조선복권합영회사의 인터넷복권사업을 문제삼아 훈넷의 남북경제협력사업자 승인을 취소했다. 이후 한국 정부와 사업자는 그 사업에 관여하지 않게 됐고, 북한 정부가 여러 인물을 통해 조선복권합영회사 또는 조선엑스포합영회사를 관리하며 온라인 게임 및 도박 등 서비스를 내놨다.
지난 6월 8일 미국 로스앤젤레스 연방법원에 제출된 공소장에 담긴 박진혁의 이력을 보면 그는 1984년 8월 15일 출생이며 조선엑스포합영회사에서 10년이상 컴퓨터 프로그래머로 근무했다. 회사는 북한과 중국에 사무실을 두고 운영됐으며 북한 군 정보기관 하위 조직인 '랩110(Lab 110)'의 지휘를 받고 있었다. 박진혁과 그가 속한 그룹은 세계 각지 고객들에게 대가를 받고 프로그래밍을 수행하는 동시에 악의적인 사이버활동을 모의했다. 이들이 모의한 악의적 활동은 스피어피싱, 파괴적 악성코드 공격, 데이터 탈취, 은행 예금 절취, 랜섬웨어 갈취, 봇넷 생성 웜바이러스 유포 등이다.
박진혁은 조선엑스포합영회사의 중국 다롄 사무실에서 수년간 일하다 2014년말 북한으로 돌아갔다. 박진혁과 그가 속한 라자루스그룹은 2014년 미국 SPE를 겨냥한 해킹 공격, 2016년 방글라데시 중앙은행으로부터 8천100만달러를 탈취한 해킹 공격, 2017년 세계 150개국 30만대 컴퓨터를 감염시킨 '워너크라이' 공격에 사용된 악성코드 제작 등을 모의했다. 이외에 다수의 엔터테인먼트, 금융서비스, 국방, 기술, 가상화폐산업, 학술, 발전 부문 대상 공격과 침입에 관여했고 한국 언론, 은행, 군 대상 해킹과 2016년과 2017년 미국 록히드마틴 침입 시도 혐의도 있다.
트레이시 윌키슨 수석연방검사보는 "공소장은 미국과 전세계에 전례없는 경제 피해와 사업 파괴를 초래한 사이버공격의 책임을 지는 북한 기반 모의의 구성원들에 부과된 것"이라며 "그 범위는 공격 출처를 추적하고 세계 네트워크를 감염시키는 데 쓴 여러 프로그램간 유사성을 비롯한 공통점을 대조한 FBI 요원과 연방 검찰의 노력으로 밝혀졌다"고 설명했다.
수사관들은 박진혁이 '개발자' 또는 '온라인게임개발자'라는 직책을 달고 일했으며 자바, JSP, PHP, 플래시(Flash), 비주얼C++ 언어로 코드를 짤 수 있는 능력을 갖췄다고 파악했다. 이가운데 비주얼C++은 라자루스가 유포한 대다수 악성코드를 작성하는 데 쓰인 프로그래밍 언어다. 박진혁이 직장인 조선엑스포합영회사가 북한 군 소속 랩110의 돈벌이용 전위조직에 불과하다고 봤다. 한국의 반북단체 보고서를 인용해 조선엑스포합영회사를 '북한 정부 관료의 외피'를 제공하는 조직으로 지칭했다.
공소장은 박진혁이 사용한 북한 소재 IP주소, 인터넷 메일서비스의 메일주소와 소셜미디어 계정을 파악하고 이들 계정이 여러 해킹 공격 과정에서 어떻게 활용됐는지를 시각화한 이미지도 담고 있다. 이미지는 그의 실명 G메일과 핫메일 계정 4개, 그리고 '김현우'라는 가명으로 사용한 메일 계정 5개 및 소셜미디어 계정 1개를 중심으로, 5개 표적에 이뤄진 공격의 진행 경로를 표현하고 있다. 5개 표적을 대상으로 실제 공격을 수행한 건 박진혁, 김현우의 계정이 아니라 19개의 또다른 메일 및 소셜미디어 계정이었다.
수사관들은 박진혁이 라자루스의 활동을 위한 인프라와 사이버공격을 위해 침해된 서버에 접속할 때 현실의 인격, 이메일, IP주소를 쓰지 않으려 했지만, 그 경유 역할을 한 가짜 중개자 인격에 자신의 실제 계정으로 연결되는 단서의 흔적을 남기는 실수를 저질렀다고 지적했다. 박진혁의 조선엑스포합영회사 계정과 '김현우' 계정 사이에 암호화한 .rar 압축파일 접근권한 공유, 회사 계정 주소록에 저장된 김현우 계정, 공통 이름과 별명을 사용한 두 계정간 영수증 읽기 사용, 공통 IP주소로 발생한 계정 접속 등이 그런 흔적이었다.
수사관들은 김현우 인격이나 과거 박진혁이 운영한 조선엑스포합영회사 계정을 라자루스의 인프라에 연관지었다. 김현우라는 가명의 온라인 계정이 여러 운영자에 의해 사용됐고, 박진혁은 그 중 하나라고 봤다. 박진혁의 프로그래밍 능력 때문에 그가 라자루스의 악성코드 제작에 관여했을 공산이 크다고 여겼다. 앞서 다른 사이버보안업체가 'FakeTLS' 프로토콜이라 지칭한 것과 연관된 데이터테이블도 발견했는데 이는 TLS를 모방해 탈취 데이터 전송을 숨기는 데 쓰인 기술이었다. 이밖에 여러 흔적이 라자루스로 연결되는 여러 악성코드와 무수한 연관성이 있다고 판단했다.
예를 들어 워너크라이 악성코드 샘플의 명령제어서버 IP주소는 FBI가 입수한 다른 악성코드와 연관되는데 이는 민간 사이버보안업체가 라자루스의 활동으로 지목한 것이다. 2016년 2월 29일과 3월 1일 한 북한 IP주소가 해당 IP주소에 접속한다. 이 북한 IP주소는 2016년 1월 8일, 22일, 27일에 침해된 웹서버 접속에 사용됐고 SPE 공격 악성코드에 감염된 노스캐롤라이나 소재 컴퓨터에도 연결됐다. 또 2016년 3월 10일 그 북한 IP주소는 2015년 12월 13일 다른 북한 IP주소에서 접속했던 페이스북 프로파일에 접속할 때 쓰였다.
관련기사
- 북한 배후 해커그룹 라자루스, 맥OS도 노린다2018.09.08
- 북한 배후 해커그룹 '안다리엘' 10년 추적기2018.09.08
- "워너크라이 공격, 북한 배후로 둔 해커집단 소행"2018.09.08
- "북한, 방글라데시 은행서 900억원 탈취 성공"2018.09.08
이날 미국 재무부는 지난 2016년 해외자산통제국(OFAC)을 통해 조선엑스포합영회사와 박진혁을 제재 대상으로 지목했다. OFAC 발표에 따르면 이 제재에 따라 미국인이 관리하고 있거나 미국이 통제하고 있는 박진혁과 조선엑스포합영회사의 재산 및 재산상 이익은 일체 차단된다. 또 미국인은 일반적으로 박진혁과의 접촉이 금지된다. 이 제재는 지난 2016년 발행한 대북제재 행정명령 제13722호에 근거한 조치다. 그 주요 내용은 미국내 북한 관련 개인과 단체의 자산 동결 및 이전, 지불, 수출, 거래 금지 등이다.
스티븐 므누신 재무장관은 "우리는 북한이 우리 제재를 위반해 이익을 늘리고 불법적인 수익을 창출하기 위해 글로벌 사이버보안을 훼손하도록 허용하지 않을 것"이라며 "미국은 (북한) 체제가 사이버공격 및 다른 범죄와 불안정한 활동을 저지른 책임을 지게 하는 데 전념하겠다"고 강조했다.
