국내 최대 가상자산(암호화폐) 거래소 업비트에서 445억원 규모의 디지털자산이 해킹으로 탈취되는 사고가 발생했다. 해당 자산은 세게 최대 가상자산 거래소인 바이낸스로 이동됐다는 정황이 보고 됐다. 사고 인지부터 공지까지 약 8시간이 소요되면서 ‘늑장 대응’ 논란도 제기됐다. 오경석 두나무 대표이사는 27일 오후 12시 33분 공지를 통해 “오전 4시 42분쯤 솔라나 네트워크 계열 자산 일부가 알 수 없는 외부 지갑으로 전송된 정황을 확인했다”며 “회원 자산에 피해가 발생하지 않도록 전액 업비트 자산으로 충당할 예정”이라고 밝혔다. 이와 관련 금융감독원은 현장 점검에 착수했고 경찰청 국가수사본부 사이버테러수사대도 입건 전 조사에 나섰다. 이번 사고로 블록체인 플랫폼 ‘솔라나’를 기반으로 발행된 토큰 445억원 상당이 유출된 것으로 파악됐다. 당초 피해액은 540억원으로 추산됐으나, 오전 4시 42분 기준 시세를 적용해 445억원으로 조정됐다. 가상자산추적분석 전문기업 클로인트는 조사 결과 유출된 자산이 다수의 중개 지갑으로 분산된 뒤 대부분이 바이낸스로 빠져나간 흐름을 포착했다고 밝혔다. 전형적인 자금 세탁 수법이다. 업비트에서 해킹 사고가 발생한 것은 이번이 두 번째다. 정확히 6년 전인 2019년 11월 27일에도 업비트에서 580억원 규모의 이더리움이 탈취됐다. 당시에도 핫월렛에 있던 자산을 모두 콜드월렛으로 옮기고 회사 자산으로 피해액을 메웠다. 수사 결과 경찰청 국가수사본부는 북한 정찰총국 산하 해킹조직 ‘라자루스’와 ‘안다리엘’ 소행으로 판단했다. 한편, 이번 해킹 여파로 관련 가상자산 가격이 급등, 해외와 가격 괴리가 크게 나타나는 ‘가두리 펌핑’ 현상도 나타났다. 대표적으로 이날 오후 5시 17분 현재 업비트에서 오르카(ORCA)는 전일 대비 두배 가까이 급등한 3196원에 거래되고 있다. 메테오레와 레이디움도 각각 84.23%, 41.95% 뛰었다. 같은 기간 시가총액 1·2위인 비트코인(0.76%), 이더리움(-0.13%) 상승 폭을 압도한다.

악성 파일 유포해 ‘먹통’ 만들어일상생활 교란하는 단계로 진화 북한 배후 해킹조직이 국내 안드로이드 이용자의 스마트폰과 PC를 원격 조종해, 기기를 초기화하고 데이터를 통째로 삭제하는 전례 없는 사이버 공격을 벌인 정황이 처음 확인됐다. 북한발 사이버 공격이 단순한 정보 탈취를 넘어 일상생활을 직접 교란하는 단계로 진화했다는 분석이 나온다. 10일 정보보호회사 지니언스 시큐리티센터(GSC)의 위협 분석 보고서에 따르면 지난 9월 5일 한 해커가 국내 탈북 청소년 전문 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다. 불과 열흘 뒤인 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화되고, 탈취된 계정을 통해 악성 파일이 지인 36명에게 동시에 유포되는 사건이 발생했다. 지인 일부는 악성 파일임을 의심해 전화나 메시지로 확인을 시도했지만, 피해자의 스마트폰은 푸시 알림과 통화, 메시지가 모두 차단된 ‘먹통’ 상태였다. 이 때문에 초동 대응이 늦어졌고 악성 파일은 빠른 속도로 퍼졌다. 공격자들은 스마트폰 제어 권한을 완전히 장악해 피해자가 통신 기능을 복구하거나 백업을 시도하지 못하도록 차단한 것으로 분석됐다. GSC는 이러한 공격이 북한 정찰총국 산하 해킹조직 ‘코니’(Konni)의 소행이라고 분석했다. 코니는 과거에도 외교·안보·탈북민 관련 인사를 대상으로 스피어 피싱과 악성코드 유포를 반복해 온 조직으로, 북한의 대표적인 사이버 첩보 그룹인 ‘김수키’(Kimsuky)와 연계된 것으로 알려져 있다. 조사 결과 피해자들은 대부분 국세청을 사칭한 이메일을 받았다. 메일에는 ‘탈세 제보 관련 소명자료 제출 요청.zip’ 등 제목의 압축파일이 첨부돼 있었고 내부에는 악성코드가 숨겨져 있었다. 사용자가 이를 열면 해킹조직이 피해자의 PC·태블릿 등에 침투해 장기간 잠복하면서 구글 계정과 주요 포털·정보기술(IT) 서비스 계정 정보를 빼냈다. 이후 공격자들은 탈취한 구글 계정으로 피해자의 위치 정보를 조회했다. 피해자가 집이나 사무실이 아닌 외부에 있을 때를 노려, 구글의 ‘내 기기 찾기’ 기능을 악용해 스마트폰을 원격 초기화했다. 정당한 기능을 역이용해 데이터를 삭제하는 수법은 국가 배후 해킹조직의 공격에서 처음 확인된 사례다. 한 번 초기화가 이뤄진 뒤에도 공격자들은 복구를 막기 위해 같은 명령을 세 차례 이상 반복했다. 이 과정에서 피해자의 사진, 문서, 연락처 등 주요 데이터가 완전히 삭제됐다. 전문가들은 “기기를 잃어버렸을 때를 대비한 보안 기능이, 오히려 공격자의 손에 들어가면 강력한 파괴 도구로 변할 수 있다는 점을 보여 준 사례”라고 분석했다. 더 충격적인 점은 감시 가능성이다. GSC 분석 결과 악성코드에는 웹캠과 마이크 제어 기능이 포함돼 있었다. 이를 통해 공격자들이 피해자의 PC 카메라를 원격으로 활성화해 일상 모습을 촬영했을 가능성이 제기됐다. GSC는 “데이터 삭제와 계정 탈취, 감시 기능을 결합한 공격은 북한발 해킹에서 처음 나타난 형태”라며 “사이버 공격이 단순한 정보전 단계를 넘어 현실 공간을 직접 침투하는 수준으로 발전하고 있다”고 분석했다. 이어 “구글 계정 비밀번호를 주기적으로 변경하고 2단계 인증을 반드시 적용해야 한다”며 “브라우저의 비밀번호 자동 저장을 끄고 PC를 사용하지 않을 때는 전원을 완전히 차단하는 등 기본 보안 수칙을 지켜야 한다”고 강조했다. 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며 사용된 악성코드 구조가 기존 북한 해킹 조직이 쓰던 것과 유사하다는 점을 확인했다고 밝혔다.

지니언스 시큐리티 센터 ‘위협 분석 보고서’ 북한 배후 해킹조직이 국내 안드로이드 이용자의 스마트폰과 PC를 원격 조종해, 기기를 초기화하고 데이터를 통째로 삭제하는 전례 없는 사이버 공격을 벌인 정황이 처음 확인됐다. 북한발 사이버 공격이 단순한 정보 탈취를 넘어 일상생활을 직접 교란하는 단계로 진화했다는 분석이 나온다. 10일 정보보호회사 지니언스 시큐리티 센터(GSC)의 위협 분석 보고서에 따르면 지난 9월 5일 한 해커가 국내 탈북 청소년 전문 심리상담사의 스마트폰을 초기화하고 탈취한 카카오톡 계정을 통해 ‘스트레스 해소 프로그램’으로 위장한 악성 파일을 탈북민 청소년 등 지인들에게 다수 전송했다. 불과 열흘 뒤인 15일에는 한 북한 인권운동가의 안드로이드 스마트폰이 동일한 방식으로 초기화되고, 탈취된 계정을 통해 악성 파일이 지인 36명에게 동시에 유포되는 사건이 발생했다. 지인 일부는 악성 파일임을 의심해 전화나 메시지로 확인을 시도했지만, 피해자의 스마트폰이 푸시 알림과 통화, 메시지가 모두 차단된 ‘먹통’ 상태여서 대응이 늦어졌다. 이 때문에 초동 대응이 늦어졌고, 악성 파일은 빠른 속도로 퍼졌다. 공격자들은 스마트폰 제어 권한을 완전히 장악해 피해자가 통신 기능을 복구하거나 백업을 시도하지 못하도록 차단한 것으로 분석됐다. GSC는 이러한 공격이 북한 정찰총국 산하 해킹조직 ‘코니’(Konni)의 소행이라고 분석했다. 코니는 과거에도 외교·안보·탈북민 관련 인사를 대상으로 스피어 피싱과 악성코드 유포를 반복해온 조직으로, 북한의 대표적인 사이버 첩보 그룹인 ‘김수키’(Kimsuky)와 연계된 것으로 알려져 있다. 조사 결과 피해자들은 대부분 국세청을 사칭한 이메일을 받았다. 메일에는 ‘탈세 제보 관련 소명자료 제출 요청.zip’ 등 제목의 압축파일이 첨부돼 있었고, 내부에는 악성코드가 숨겨져 있었다. 사용자가 이를 열면 해킹조직이 피해자의 PC·태블릿 등에 침투해 장기간 잠복하면서 구글 계정과 주요 포털·IT 서비스 계정 정보를 빼냈다. 이후 공격자들은 탈취한 구글 계정으로 피해자의 위치 정보를 조회했다. 피해자가 집이나 사무실이 아닌 외부에 있을 때를 노려, 구글의 ‘내 기기 찾기’ 기능을 악용해 스마트폰을 원격 초기화했다. 정당한 기능을 역이용해 데이터를 삭제하는 수법은 국가 배후 해킹조직의 공격에서 처음 확인된 사례다. 한 번 초기화가 이뤄진 뒤에도 공격자들은 복구를 막기 위해 같은 명령을 세 차례 이상 반복했다. 이 과정에서 피해자의 사진, 문서, 연락처 등 주요 데이터가 완전히 삭제됐다. 전문가들은 “기기를 잃어버렸을 때를 대비한 보안 기능이, 오히려 공격자의 손에 들어가면 강력한 파괴 도구로 변할 수 있다는 점을 보여준 사례”라고 분석했다. 더 충격적인 점은 감시 가능성이다. GSC 분석 결과, 악성코드에는 웹캠과 마이크 제어 기능이 포함돼 있었다. 이를 통해 공격자들이 피해자의 PC 카메라를 원격으로 활성화해 일상 모습을 촬영했을 가능성이 제기됐다. GSC는 “데이터 삭제와 계정 탈취, 감시 기능을 결합한 공격은 북한발 해킹에서 처음 나타난 형태”라며 “사이버 공격이 단순한 정보전 단계를 넘어 현실 공간을 직접 침투하는 수준으로 발전하고 있다”고 분석했다. 이어 “구글 계정 비밀번호를 주기적으로 변경하고, 2단계 인증을 반드시 적용해야 한다”며 “브라우저의 비밀번호 자동 저장을 끄고, PC를 사용하지 않을 때는 전원을 완전히 차단하는 등 기본 보안 수칙을 지켜야 한다”고 강조했다. 경기남부경찰청 안보사이버수사대는 북한 인권운동가 해킹 사건을 수사 중이며, 사용된 악성코드 구조가 기존 북한 해킹 조직이 쓰던 것과 유사하다는 점을 확인했다고 밝혔다.

북한 배후 해킹조직이 개인의 스마트폰과 PC를 원격 조종해 사진·문서·연락처 등 주요 데이터를 통째로 삭제하는 ‘파괴형 사이버 공격’을 감행한 정황이 포착됐다. 단순한 정보 탈취를 넘어 현실 피해로 이어진 사례가 공식 보고된 것은 이번이 처음이다. 10일 정보보안기업 지니언스 시큐리티 센터에 따르면 북한 연계 해킹조직은 안드로이드 기반 스마트폰을 중심으로 피해자 기기를 원격 초기화하고, 탈취한 카카오톡 계정을 이용해 악성 파일을 지인들에게 유포한 것으로 분석됐다. 센터에 따르면 지난 9월 국내 한 심리상담사의 스마트폰이 초기화된 뒤 ‘스트레스 해소 프로그램’으로 위장한 악성 파일이 상담사의 지인들에게 대량 전송됐다. 같은 달 북한 인권운동가의 스마트폰에서도 동일한 수법이 재현돼 악성 파일이 30명 이상에게 동시 전파됐다. 지니언스는 이번 공격이 기존 사회공학적 해킹 수법을 넘어선 ‘실질적 파괴 단계’라고 평가했다. 해커들은 피해자의 구글 위치 데이터를 활용해 외출 시간을 확인한 뒤 ‘내 기기 찾기’ 기능을 이용해 스마트폰을 원격 초기화한 것으로 드러났다. 이 과정에서 피해자의 PC와 태블릿까지 감염돼 추가 공격이 이뤄졌다. 특히 피해자의 웹캠과 마이크를 제어해 일거수일투족을 감시했을 가능성도 제기됐다. 보고서에 따르면 악성코드 내부에서 카메라·마이크 접근 권한이 확인됐으며, 피해자가 외부에 있는 시점을 노려 공격이 실행됐다. 지니언스는 “안드로이드 기기 데이터 삭제, 계정 탈취, 악성코드 전파를 결합한 수법은 전례가 없다”며 “북한의 사이버공격이 사람들의 일상 영역까지 침투한 수준”이라고 분석했다. 전문가들은 로그인 2단계 인증과 브라우저 비밀번호 자동저장 차단, PC 미사용 시 전원 차단 등 기본 보안 수칙 강화를 당부했다.

“213억원을 뜯어낸 피해자에게 돈이 더 있는 걸 알고, 기관 직원을 사칭해 가족들에게도 접근했어요. 잡히지 않았다면 추가 피해가 발생할 수도 있었던 겁니다.” 기업 회장과 임원 등 자산가 258명의 개인정보를 해킹해 390억원을 가로챈 국제 해킹조직을 검거한 김경환(49) 서울경찰청 사이버범죄수사대 수사팀장은 3일 서울신문과의 인터뷰에서 “상상도 하지 못한 범행 수법”이라며 혀를 내둘렀다. 실제 해킹 이후 은행·증권·가상자산 계좌에서 빼간 돈 390억원, 미수에 그친 금액 250억원, 해킹당한 258명의 계좌 잔액 55조원. 여러모로 충격을 안긴 이 사건은 2년간 이어진 경찰의 끈질긴 수사와 국제 공조의 노력으로 말단 조직원을 거슬러 올라가 총책까지 잡아들이는 성과를 냈다. 김 팀장 등 서울청 사이버수사대가 사건을 처음 접한 건 2023년 9월. 국내 한 기업 회장 측의 신고를 받으면서부터였다. 이후 같은 해 12월까지 ‘알뜰폰이 무단으로 개통됐고, 계좌에서 돈을 빼가려는 시도가 있었다’는 피해 신고가 10건 넘게 접수됐다. 김 팀장은 “각기 다른 사건처럼 보였지만, 피해자들 명의로 알뜰폰을 개통해 다른 사기 범죄 등을 저지르려는 흔적이 보였다”고 설명했다. 해킹조직의 수법은 16년 차 베테랑 수사관을 놀라게 할 정도로 대범했다. 김 팀장은 “국내 행동책이 기관 직원을 사칭해 이미 200억 넘는 피해를 입은 자산가의 가족을 찾아가기도 했다”며 “이들은 ‘정부 지원금 중 일부 환급금이 있다’고 속여 가족들의 신분증 등 개인정보를 빼돌렸는데, 또 다른 범행을 준비했던 것”이라고 전했다. 중국과 태국에 주로 머물던 조직 총책 A씨의 소재를 파악하는 건 생각보다 더 어려웠다고 한다. 이 과정에서 수사팀과 협업한 경찰청 인터폴공조계의 역할이 컸다. 김재현(35) 경찰청 인터폴공조계 경감은 “유일하게 경찰협력관을 상호 파견한 태국에 A씨가 체류하고 있었다”며 “A씨가 다니던 골프장, 지인의 입출국 기록은 물론 태국 방콕의 모든 호텔 투숙 기록을 다 뒤져 소재를 파악했다”고 전했다. 그렇게 태국에서 검거된 A씨는 지난달 29일 검찰에 송치됐다. 김 팀장은 “할 일을 했을 뿐인데 개인정보를 해킹당한 피해자 측에서 수사팀에 ‘회사 하나를 살렸다’고 하더라”며 “더 큰 피해로 이어질 수도 있는 범죄를 막을 수 있어서 다행”이라고 했다. 김 경감은 “외국 국적 피의자를 해외에서 검거해 송환한 건 굉장히 이례적인 일”이라면서 “‘붙잡힐 리 없다’고 믿는 해외 도피사범들에게 ‘언젠간 꼭 잡힌다’는 말을 해주고 싶다”고 전했다.

SNS로 檢 수사·폰 인증번호 공유비대면 인증 체계 뚫고 자산 탈취피해자 16명에게서 390억 빼돌려 ‘기업 대표 및 임원 75명, 법조계 공무원 11명, 연예인·인플루언서 12명, 체육인 6명, 가상자산 투자자 28명.’ 내로라하는 재력가와 유명인, 법조인까지 국제 해킹조직은 총 258명의 범행대상을 까다롭게 선별했다. 이렇게 표적을 정한 뒤에는 정부, 공공기관, 정보통신(IT) 플랫폼 업체 등을 해킹해 피해자들의 신분증이나 연락처, 계좌번호 같은 개인·금융·인증 정보를 빼냈다. 이후 비대면으로 ①알뜰폰 개통 ②인증서 무단 발급 ③은행·증권·가상자산 계좌 출금 ④자금세탁 순으로 범행을 이어갔다. 경찰은 28일 열린 브리핑에서 “피해자들의 금융·가상자산 계좌 등에는 모두 55조원대의 돈이 있었던만큼 총책이 검거되지 않았다면 피해는 걷잡을 수 없이 커졌을 것”이라고 말했다. 실제 개인정보 해킹 이후 가상자산 계좌에서 213억원이나 뜯긴 피해자도 있었다. 서울경찰청 사이버수사대는 해킹조직 총책 중국 국적 A(35)씨 등 국내외 조직원 18명을 특정경제범죄법(사기) 위반 등의 혐의로 검거했다고 이날 밝혔다. 이들은 2023년 7월부터 올해 4월까지 무단 개통한 알뜰폰 등을 활용해 피해자 16명으로부터 390억원을 빼았고, 추가로 10명에게서 250억원을 가로채려 시도한 혐의를 받는다. 개인정보를 해킹당한 피해자는 258명이다. 해킹조직은 258명의 개인정보를 탈취한 이후에는 본격적으로 금융자산을 가로채기 위한 작업에 나섰다. 특히 명의를 도용해 알뜰폰을 개통해도 알람을 받거나 바로 대응하기 어려운 피해자들을 추렸다. 교정시설에 수감되거나 해외 출장 중인 기업 대표나 군 복무 중이거나 해외 체류 중인 연예인 등이 대표적이다. 예컨대 총책 A씨는 또다른 총책 B(중국 국적·40)씨에게 ‘A기업 회장, 시세조종 혐의(주식 00억 있음)’, ‘B기업 대표, 검찰 구속영장 검토중(자산 많지 않음)’ 등 재력가 관련 정보를 텔레그램으로 공유하며 구속 여부를 확인하고 알뜰폰 개통 상황을 공유했다. 한 총책이 “형님 이제 금방 개통했습니다”라고 말하니, “알았다. 지금 인증번호 갔을 것이다”라고 답하는 방식으로 대화가 이뤄졌다. 알뜰폰 개통 후 각종 비대면 신원 인증 체계는 차례로 뚫렸다. 해킹 피해를 입은 곳은 정부와 공공기관 등 5곳, 본인인증 기관 2곳, 금융 기관 1곳, ICT 위탁기관 1곳, IT 기업 1곳, 알뜰폰 사업자 12곳에 달한다. 경찰은 오는 29일 A씨를 검찰에 구속 송치하고 지난 6월 태국 현지에서 구속된 B씨에 대해선 국내 송환 절차를 진행 중이다. 오규식 서울청 사이버수사2대장은 브리핑에서 “단순히 개인 대상 해킹이 아니라 비대면 인증 체계를 우회한 전례 없는 사건”이라고 평가했다.

‘기업 대표 및 임원 75명, 법조계 공무원 11명, 연예인·인플루언서 12명, 체육인 6명, 가상자산 투자자 28명.’ 내로라하는 재력가와 유명인, 법조인까지 국제 해킹조직은 총 258명의 범행대상을 까다롭게 선별했다. 이렇게 표적을 정한 뒤에는 정부, 공공기관, 정보통신(IT) 플랫폼 업체 등을 해킹해 피해자들의 신분증이나 연락처, 계좌번호 같은 개인·금융·인증 정보를 빼냈다. 이후 비대면으로 ①알뜰폰 개통 ②인증서 무단 발급 ③은행·증권·가상자산 계좌 출금 ④자금세탁 순으로 범행을 이어갔다. 경찰은 28일 열린 브리핑에서 “피해자들의 금융·가상자산 계좌 등에는 모두 55조원대의 돈이 있었던만큼 총책이 검거되지 않았다면 피해는 걷잡을 수 없이 커졌을 것”이라고 말했다. 실제 개인정보 해킹 이후 가상자산 계좌에서 213억원이나 뜯긴 피해자도 있었다. 서울경찰청 사이버수사대는 해킹조직 총책 중국 국적 A(35)씨 등 국내외 조직원 18명을 특정경제범죄법(사기) 위반 등의 혐의로 검거했다고 이날 밝혔다. 이들은 2023년 7월부터 올해 4월까지 무단 개통한 알뜰폰 등을 활용해 피해자 16명으로부터 390억원을 빼았고, 추가로 10명에게서 250억원을 가로채려 시도한 혐의를 받는다. 개인정보를 해킹당한 피해자는 258명이다. 해킹조직은 258명의 개인정보를 탈취한 이후에는 본격적으로 금융자산을 가로채기 위한 작업에 나섰다. 특히 명의를 도용해 알뜰폰을 개통해도 알람을 받거나 바로 대응하기 어려운 피해자들을 추렸다. 교정시설에 수감되거나 해외 출장 중인 기업 대표나 군 복무 중이거나 해외 체류 중인 연예인 등이 대표적이다. 예컨대 총책 A씨는 또다른 총책 B(중국 국적·40)씨에게 ‘A기업 회장, 시세조종 혐의(주식 00억 있음)’, ‘B기업 대표, 검찰 구속영장 검토중(자산 많지 않음)’ 등 재력가 관련 정보를 텔레그램으로 공유하며 구속 여부를 확인하고 알뜰폰 개통 상황을 공유했다. 한 총책이 “형님 이제 금방 개통했습니다”라고 말하니, “알았다. 지금 인증번호 갔을 것이다”라고 답하는 방식으로 대화가 이뤄졌다. 알뜰폰 개통 후 각종 비대면 신원 인증 체계는 차례로 뚫렸다. 해킹 피해를 입은 곳은 정부와 공공기관 등 5곳, 본인인증 기관 2곳, 금융 기관 1곳, ICT 위탁기관 1곳, IT 기업 1곳, 알뜰폰 사업자 12곳에 달한다. 경찰은 오는 29일 A씨를 검찰에 구속 송치하고 지난 6월 태국 현지에서 구속된 B씨에 대해선 국내 송환 절차를 진행 중이다. 오규식 서울청 사이버수사2대장은 브리핑에서 “단순히 개인 대상 해킹이 아니라 비대면 인증 체계를 우회한 전례 없는 사건”이라고 평가했다.

그룹 방탄소년단(BTS)의 정국과 대기업 회장, 벤처기업 대표 등 재력가들의 명의를 도용해 380억원 이상을 가로챈 혐의를 받는 해킹조직 총책 전모(34)씨가 범행을 일부 시인한 것으로 전해졌다. 25일 서울경찰청 관계자는 “피의자가 혐의에 대해 일부 시인하는 부분도 있고 부인도 하고 있다”며 “그동안 확보한 증거 자료를 토대로 최대한 엄정 수사할 예정”이라고 밝혔다. 앞서 조직원 16명을 검거한 경찰은 이번 주 중 전씨를 검찰에 구속 송치할 계획이다. ‘피해자 조사도 마쳤느냐’는 질문에는 “피해자 조사를 하면서 피해 규모를 확인해야 하기 때문에 반드시 해야 할 사안”이라고 관계자는 답했다. 중국 국적자인 전씨는 2023년 8월부터 작년 1월까지 이동통신사 등 다수의 국내 웹페이지를 해킹해 개인정보를 불법 수집한 혐의를 받는다. 이후 정국 등 자산가의 명의로 알뜰폰을 무단 개통해 금융계좌와 가상자산 계정에서 자산을 이체하는 식으로 자산을 가로챈 것으로 경찰은 보고 있다. 군에 입대한 사이 범행 표적이 된 BTS 정국의 경우처럼, 피해자 상당수는 수감 중이던 기업인으로 전해졌다. 이 중에는 국내 가상자산·벤처기업 인사와 함께 재계 30위권 기업의 총수도 포함된 것으로 알려졌다. 서울경찰청과 법무부는 A씨의 소재를 추적하던 중 올해 4월 그가 태국에 입국했다는 첩보를 입수한 뒤 신병을 확보해 지난 22일 인천공항으로 송환했다.

개인정보 빼내 380억원 이상 편취경찰·인터폴, 태국 체류 정보 입수 현지 급파… 태국 경찰과 검거 성공 ‘긴급인도구속청구’로 타국 첫 송환“외국인 범죄인 국내 송환 더 늘 것” 지난 5월 8일 찌는 듯한 더위 속 태국 방콕. 서울에서 급파된 경찰과 태국 현지에 파견된 경찰 협력관, 태국 경찰 등이 도심 외곽 후미진 건물에 은신해 있던 A(34·중국 국적)씨를 급습했다. A씨는 국내 대기업 회장을 비롯해 방탄소년단(BTS) 정국 등 유명 인사들의 개인정보를 해킹해 이들의 금융계좌에서 무단으로 380억원 이상을 편취한 불법 해킹 조직의 총책이다. A씨는 체포 당시에도 다수의 조직원과 함께 컴퓨터 앞에서 작업 중이었다고 한다. 현장에서 체포된 짧은 머리의 A씨는 지난 22일 인천공항을 통해 송환돼 24일 정보통신망법 위반 등의 혐의로 구속됐다. A씨의 국내 송환은 한국의 공조 중앙기관인 법무부와 1년 넘게 A씨를 추적한 경찰, 그리고 인터폴과 태국 수사 당국의 긴밀한 ‘3각 공조’가 있었기에 가능했다. 태국에서 정식 ‘범죄인인도청구’ 전에 ‘긴급인도구속청구’ 절차를 통해 범죄인을 타국으로 송환한 것은 이번이 처음이다. 태국 검찰과 경찰을 움직인 배경에는 한국 검경의 물밑 작업이 숨어 있었다. 24일 서울신문 취재를 종합하면 중국 국적의 A씨는 지난해 4월부터 중국에 머무르면서 피해자들의 금융계좌, 가상자산 계정에서 거액을 속여 뺏는 ‘해킹 작업’을 벌이고 있었다. 해당 범죄를 인지하고 A씨의 행방을 쫓던 서울경찰청 사이버수사대와 경찰청 인터폴 공조계는 지난 4월 ‘A씨가 태국에 있는 것 같다’는 첩보를 입수했다. 법무부와 경찰은 첩보를 입수한 즉시 태국 당국에 범죄인 긴급인도구속청구를 했다. 긴급인도구속청구는 통상 송환 때 신청하는 범죄인인도청구보다 절차가 간결해 범죄자의 국내 송환 가능성이 높다. 통상 수개월씩 걸리는 범죄인인도청구 절차가 지체되면 범죄자의 체류 기간이 지나 자국으로 추방될 수 있는데, 이 경우 이들을 다시 국내로 송환하기는 쉽지 않다. 해킹이나 보이스피싱 조직 총책에는 중국이나 동남아 등 외국 국적이 많다. 이 때문에 국내 수사기관이 이들을 현지에서 체포하더라도 불법 체류를 이유로 범죄인들이 자국으로 추방되는 사례가 빈번하다. 태국의 설날인 ‘송끄란 축제’ 휴일과 겹쳐 서류 처리가 늦어질 것을 우려한 법무부는 수사관을 현지로 급파해 태국 당국과 직접 소통했다. ‘유엔마약·범죄사무소’(UNODC)의 ‘동남아시아 공조 네트워크’(SEAJust)를 통해 A씨의 체포영장 발부 상황을 실시간으로 공유한 우리 수사팀은 태국 법원에서 영장이 발부되자마자 태국 경찰과 함께 즉시 출동해 A씨를 붙잡는 데 성공했다. 첩보 입수 후 2주가 지난 시점이었다. 법무부는 지난달 A씨를 송환하기 위해 검사와 수사관을 별도로 파견했고 지난 22일 오전 5시 5분 인천공항으로의 송환에 성공했다. 법무부 관계자는 “향후 해외에 체류하면서 대한민국을 대상으로 범죄 활동을 벌이는 외국 국적 범죄인들을 국내로 빠르게 송환할 수 있는 사례가 더 많이 나올 수 있을 것”이라고 말했다. A씨의 범죄는 서울신문 보도<서울신문 2024년 3월 4일자 1면>로 알려졌다. A씨는 해킹을 통해 취득한 개인정보를 바탕으로 신분증을 위조해 알뜰폰을 개통한 뒤 이를 기반으로 금융기관 비대면 계좌를 개설했다. 이후 증권사에 피해자가 보유한 주식을 담보로 대출을 신청하거나 다른 증권사의 신설 계좌로 주식을 옮기는 등의 수법으로 자산을 탈취했다.

미국 연방수사국(FBI)이 가상화폐를 탈취한 북한 해커 4명에게 최대 500만 달러(약 68억원)의 현상금을 내걸었다. 1일(현지시간) FBI에 따르면 미 조지아주 북부 검찰청은 지난달 24일 전신 사기·자금세탁 공모 등 혐의를 받는 북한 국적 20대 남성 4명에 대해 연방 체포영장을 발부했다. 앞서 미 법무부는 지난달 30일 북한 정보기술(IT) 노동자들의 위장 취업 사실을 적발했다고 발표하며 이들에 대한 수배령을 사진과 함께 당국 웹사이트에 게시했다. 수배령에는 ‘김관진’(27), ‘강태복’(28), ‘정봉주’(28), ‘창남일’(26)이라고 이들의 이름과 나이가 명시됐다. 이어 관련된 정보를 제공할 경우 최대 500만 달러의 보상금을 지급한다고 밝혔다. FBI는 이들이 영어를 할 줄 알고 아랍에미리트, 라오스와도 관계가 있다고 전했다. 기소장에 따르면 이들은 북한이 발급한 여행 서류를 소지하고 아랍에미리트로 건너가 함께 활동하며 2022년부터 미 애틀랜타에 기반을 둔 블록체인 연구·개발 업체에 신분을 위장하고 원격으로 취업했다. 이후 점차 고용주의 신뢰를 얻으면서 가상화폐 자산에 접근할 수 있는 권한을 얻은 뒤 소스 코드를 변경하는 수법으로 가상화폐를 빼돌렸다. 이들은 범행 당시 기준으로 91만 5000달러(약 12억 4000만원)어치의 가상화폐를 탈취하고 자금세탁을 공모한 혐의를 받는다. 북한은 최근 세계 각국을 상대로 가상화폐 탈취를 통한 통치자금 마련에 사활을 걸고 있다. 북한 정찰총국 산하 해킹조직 라자루스(Lazarus)는 지난 2월 바이비트(Bybit) 거래소를 해킹해 약 15억 달러(약 2조 1577억원) 상당의 이더리움 등 가상자산을 빼돌렸다. 이는 단일 사건 기준으로 역대 최대 규모의 가상화폐 해킹으로 기록됐다. 미국 등 정보당국은 빼돌린 자산이 과거 북한이 해킹한 자금과 같은 지갑 주소로 이동한 점, 자금 세탁 방식 등을 근거로 북한 라자루스의 소행이라고 판단했다. 북한은 앞서 2019년 업비트에서 당시 약 580억원(현 시세 약 1조 4700억원) 상당의 이더리움을 탈취했다.

경찰 사이버수사대 수사관을 대상으로 스팸 문자를 통한 해킹 시도가 포착돼 경찰청이 조사에 나섰다. 30일 경찰청에 따르면 대선 직전 전국 사이버수사관에게 스팸 문자가 발송됐다. 해당 문자에는 ‘사이버수사대 해킹됐습니다’라는 문구와 함께 텔레그램 링크가 포함된 것으로 알려졌다. 경찰청은 사이버수사관을 겨냥한 해킹 시도일 가능성으로 보고 입건 전 조사(내사)에 착수했다. 아직 해킹으로 인한 피해는 발생하지 않은 것으로 파악됐다. 뉴시스에 따르면 경찰청 국가수사본부 사이버테러대응과 관계자는 “문자 수신 사실에 관해 확인해 입건 전 조사 중”이라며 “해킹 여부는 확인된 바 없다”고 했다. 그는 북한 해킹조직 연루 정황이나 테러 가능성에 대해서는 “아직 단정할 수 있는 단계가 아니다”라고 했다. 경찰은 해킹 경로 추적 등을 통해 범죄 혐의점이 발견되면 정식 입건해 수사한다는 방침이다.

SK텔레콤 해킹 사건에 대한 배후로 중국 정부의 지원을 받은 해커 집단이 지목되고 있다. 19일 SKT 침해사고 민관합동조사단은 정부서울청사에서 진행한 2차 조사결과 중간발표에서 BPF도어(BPFDoor) 및 파생 악성코드 공격으로 가입자 식별키 기준 약 2700만건의 유심 정보가 유출됐다고 밝혔다. 통신 업계에 따르면 SKT 서버에서 발견된 BPF도어는 3년 전 최초로 존재가 보고된 백도어 프로그램이다. PwC가 2022년 공개한 보고서에 따르면 중국 해커 집단 레드 멘션(Red Menshen)은 중동, 아시아 지역 통신사를 공격하면서 BPF도어를 활용 중이다. 미국 정보보안 기업 트렌드마이크로도 지난달 보고서에서 BPF도어의 숨겨진 컨트롤러로 중국의 지능형 지속 공격(APT) 그룹 레드 멘션을 지목했다. 트렌드마이크로는 2024년 7월과 12월 두차례에 걸쳐 국내 통신사가 BPF도어 공격을 받았다고도 밝혔다. 글로벌 보안 기업 사이버리즌이 발표한 ‘소프트 셀 작전’ 보고서에 따르면 통신사를 목표로 한 공격은 장기간에 걸친 정밀 추적을 위한 기반 정보 확보가 주목적이다. 장기간에 걸쳐 특정 인물의 통화 상대, 시각, 빈도, 위치정보를 수집하고, 이를 통해 행동 패턴과 사회적 관계를 몰래 알아낼 수 있다는 것이다. 국내 통신업계에서는 이번 SKT 해킹 사태가 미·중 사이버 전쟁의 연장선에 있다는 분석을 내놓는다. 백악관은 지난해 12월 중국이 최소 8개의 미국 통신회사를 해킹해 고위 당국자와 정치인의 전화 통화, 문자 메시지 등 통신 기록에 접근했다고 발표하면서 “미국뿐 아니라 수십 개 이상의 다른 국가들도 중국 해커들의 공격 대상이 됐다”고 했다. 미 연방수사국(FBI)도 지난해 10월 중국 당국의 지원을 받는 것으로 알려진 볼트 타이푼(Volt Typhoon)·솔트 타이푼(Salt Typhoon)·플랙스 타이푼(Flax Typhoon) 등 3개의 거대 사이버 스파이 활동 조직을 적발했다. 이들은 미국, 베트남, 루마니아 등 19개국에서 26만개가 넘는 소규모 사무실과 사물인터넷 기기에 악성 소프트웨어를 심는 방식으로 활동해온 것으로 나타났다. 월스트리트저널(WSJ)은 “중국의 정보 수집 및 보안 작업 인원이 최대 60만명에 이를 수 있다”고 추정하며 “일부 중국 해커들은 정부 지원을 받는 것으로 알려졌다”고 보도했다. SKT 해킹의 배후로 지목되는 레드 멘션 또한 3년이라는 긴 시간 동안 국내 통신사에 악성코드를 심어 침투해 있었다는 점에서 미뤄볼 때, 중국 정부의 지원을 받는 해킹조직 아니냐는 분석이 나온다.

세계 최대 암호화폐 거래소 중 한 곳이 역대 최대 규모인 2조원대 해킹을 당한 가운데, 북한 해킹 조직의 소행일 가능성이 제기됐다. 21일(현지시간) 블룸버그 통신에 따르면 암호화폐 거래소 바이비트(Bybit)가 해킹을 당해 14억 6000만 달러(약 2조 1000억원)의 코인이 탈취 당했다. 바이비트 최고경영자(CEO) 벤 저우는 이날 엑스(X·옛 트위터)에 “해커가 바이비트의 오프라인 이더리움 지갑 중 하나를 탈취했다”고 밝혔다. 블록체인 분석가 잭엑스비티(ZachXBT)는 이로 인해 14억 6000만 달러 상당의 자산이 의심스러운 거래를 통해 지갑에서 유출됐다고 설명했다. 블록체인 데이터 추적 플랫폼 아캄 인텔리전스도 엑스를 통해 약 14억 달러의 자금이 유출됐다며 “이 자금이 새로운 주소로 이동하며 매각되고 있다”고 밝혔다. 이번 해킹은 2014년 마운트곡스(4억 7000만 달러)와 2021년 폴리 네트워크(6억 1100만 달러) 사건을 넘어선 역대 최대 규모의 암호화폐 해킹으로 꼽히고 있다. 2018년 설립된 바이비트는 일일 평균 거래량이 360억 달러(약 51조 7860억원) 이상인 세계 최대 암호화폐 거래소 중 하나다. 한때 거래량 기준 전 세계 2위에 오르기도 했다. 두바이에 본사를 둔 이 플랫폼은 해킹 이전 약 162억 달러의 자산을 보유하고 있었다. 도난당한 이더리움은 총 자산의 약 9%에 해당한다. 블록업체 분석업체 난센에 따르면 이날 바이비트에서 해킹당한 자금은 이더리움과 이더리움 파생상품으로 구성됐다. 코인은 먼저 하나의 지갑으로 이전된 다음 40개 이상의 지갑으로 분산됐다. 또 파생상품은 모두 이더리움으로 바꾼 뒤 2700만 달러씩 10개 이상의 추가 지갑으로 옮겼다고 난센은 설명했다. 아캄 인텔리전스는 잭엑스비티가 북한 해킹 조직 라자루스 소행이라는 증거를 제출했다고 밝혔다. 바이비트의 조사를 돕고 있는 블록체인 보안 기업 파이어블록스도 “이번 해킹은 지난해 발생한 인도 암호화폐 거래소 와지르X와 대출 프로토콜 라디언트 캐피털에 대한 공격과 유사한 것으로 보인다”며 “두 사건 모두 북한 소행이었다”고 설명했다. 북한 해커들은 와지르X에서 2억 3490만 달러, 라디언트 캐피탈에서는 5000만 달러 규모의 암호화폐를 해킹한 배후로 지목받고 있다. 북한은 최근 수년간 암호화폐 거래소 등에 대한 해킹을 통해 암호화폐를 탈취해 현금으로 세탁한 뒤 핵무기 개발 등에 사용하고 있다는 의혹을 받고 있다. 한미일 3국은 지난달 공동성명을 내고 지난해 발생한 6억 6000만 달러(약 9600억원) 규모 암호화폐 탈취 사건을 북한 소행으로 공식 지목했다. 또 2019년 11월 암호화폐 거래소 업비트에 보관돼있던 이더리움 34만 2000개가 탈취된 사건과 관련해, 북한 정찰총국 소속 해커집단 ‘라자루스’와 ‘안다리엘’ 등 2개 조직이 범행에 가담한 사실을 파악했다고 경찰청 국가수사본부가 밝혔다. 바이비트 대규모 해킹 소식에 이날 암호화폐는 일제히 하락했다. 암호화폐 거래소 코인베이스에 따르면 미 동부 시간 이날 오후 3시 45분 비트코인 1개당 가격은 24시간 전보다 2.42% 내린 9만 6116달러에 거래됐다. 비트코인은 이날 한때 9만 5000달러 아래까지 하락하기도 했다.

北 정찰총국 해킹조직 2곳 소행5년 전 이더리움 34만여개 탈취분산 전송·비트코인 교환해 세탁핵·미사일 자금 조달에 사용 추정 북한 정찰총국 산하 해킹 조직이 5년 전 우리나라 최대 가상자산 거래소에서 당시 580억원 상당(현재 약 1조 4700억원)의 가상자산을 탈취한 사실이 21일 확인됐다. 수사기관이 확인한 결정적 증거물(스모킹건)은 바로 ‘헐한 일’(중요하지 않은 일이라는 북한말)이라는 단어였다. 북한이 해외 등 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고, 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만, 국내 수사기관이 공식 확인한 것은 처음이다. 경찰청 국가수사본부는 2019년 11월 북한의 대남공작기구인 정찰총국 소속 해킹 조직 ‘라자루스’, ‘안다리엘’ 2곳이 국내 가상자산 거래소 ‘업비트’가 보관하던 이더리움 34만 2000개를 탈취했다고 이날 밝혔다. 그간 라자루스는 정부 기관과 금융기관을, 안다리엘은 군과 국방산업을 주로 공격해 왔다. 경찰은 2022년 11월쯤 이번 사건의 배후를 북한으로 보고 수사를 이어 왔다. 미국 연방수사국(FBI)과의 공조를 통해 북한의 IP주소와 탈취된 가상자산 흐름 등을 추적한 결과다. 해커가 사용한 정보통신기기에서 ‘헐한 일’ 등 북한말이 오간 정황이 주요 증거였다고 한다. 경찰은 모방이나 재범을 우려해 구체적인 해킹 방식은 공개하지 않았지만 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 파고들어 이를 탐지하기가 쉽지 않은 것으로 전해졌다. 북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 해킹 조직은 580억원의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다. 이렇게 분산시킬 경우 탈취된 가상화폐라는 점을 입증하기가 어려워진다. 경찰은 스위스 당국과 공조 끝에 스위스의 한 가상자산 거래소에 남아 있던 4.8비트코인(현재 시세 기준 약 6억원)을 환수해 지난달 업비트에 돌려줬다. 경찰은 다른 해외 거래소도 접촉했지만 대부분 협조 요청에 답하지 않거나, 탈취된 가상자산이라는 게 입증되지 않았다며 환수를 거절한 것으로 알려졌다. 북한은 지난 7월 인도 최대 가상자산 거래소에서 2억 달러(약 2700억원) 상당의 가상자산이 탈취된 건과 관련해서도 범인으로 지목된 바 있다. 블록체인 데이터 분석기업 ‘체이널리시스’는 북한 해킹 조직이 탈취한 가상자산이 지난해 10억 달러(약 1조 3900억원)에 달할 것으로 추산했다. 김형중 고려대 정보보호대학원 교수는 “현금과 달리 가상자산은 탈취하면 전송이 쉬운 특성상 개인 지갑이나 시세 조종 등 약한 고리를 노리는 북한 해커의 시도가 계속될 수 있다”고 말했다.

북한 정찰총국 산하 해킹 조직이 5년 전 우리나라 최대 가상자산 거래소에서 당시 580억원 상당(현재 약 1조 4700억 원)의 가상자산을 탈취한 사실이 21일 확인됐다. 수사기관이 확인한 결정적 증거물(스모킹건)은 바로 ‘헐한 일’(중요하지 않은 일이라는 북한말)이라는 단어였다. 북한이 해외 등 외부 가상자산 거래소를 해킹해 가상화폐를 탈취하고, 이를 핵·미사일 개발 자금으로 쓴다는 것은 공공연한 사실이지만, 국내 수사기관이 공식 확인한 것은 처음이다. 경찰청 국가수사본부는 2019년 11월 북한의 대남공작기구인 정찰총국 소속 해킹 조직 ‘라자루스’, ‘안다리엘’ 2곳이 국내 가상자산 거래소 ‘업비트’가 보관하던 이더리움 34만 2000개를 탈취했다고 이날 밝혔다. 그간 라자루스는 정부 기관과 금융기관을 안다리엘은 군 및 국방산업을 주로 공격해 왔다. 경찰은 2022년 11월쯤 이번 사건의 배후를 북한으로 보고 수사를 이어왔다. 미국 연방수사국(FBI)과 공조 등을 통해 북한의 IP주소와 탈취된 가상자산 흐름 등을 추적한 결과다. 해커가 사용한 정보통신기기에서 ‘헐한 일’ 등 북한말이 오간 정황이 주요 증거였다고 한다. 경찰은 모방이나 재범을 우려해 구체적인 해킹 방식은 공개하지 않았지만 북한 해커들은 주로 거래소가 보안시스템 등을 업데이트할 때 발견되는 취약점을 파고들어 이를 탐지하기가 쉽지 않은 것으로 전해졌다. 북한은 추적을 피하기 위해 탈취한 가상자산 580억원을 여러 경로로 세탁하는 수법을 썼다. 해킹 조직은 580억의 절반 이상을 북한이 자체적으로 만든 가상자산 교환사이트 3개를 통해 시세보다 싼 가격(2.5% 할인)에 비트코인으로 바꿨고, 나머지는 미국, 중국, 홍콩 등 13개국 51개 거래소로 분산 전송 후 세탁했다. 이렇게 분산시킬 경우 탈취된 가상화폐라는 점을 입증하기가 어려워진다. 경찰은 스위스 당국과 공조 끝에 스위스의 한 가상자산 거래소에 남아있던 4.8비트코인(현재 시세 기준 약 6억원)을 환수해 지난달 업비트에 돌려줬다. 경찰은 다른 해외 거래소도 접촉했지만 대부분 협조 요청에 답하지 않거나 탈취된 가상자산이라는 게 입증되지 않았다며 환수를 거절한 것으로 알려졌다. 북한은 지난 7월 인도 최대 가상자산 거래소에서 2억 달러(약 2700억원) 상당의 가상자산이 탈취된 건과 관련해 범인으로 지목된 바 있다. 블록체인 데이터 분석기업 ‘체이널리시스’는 북한 해킹 조직이 탈취한 가상자산이 지난해 10억 달러(약 1조 3900억원)에 달할 것으로 추산했다. 김형중 고려대 정보보호대학원 교수는 “현금과 달리 가상자산은 탈취하면 전송이 쉬운 특성상 개인 지갑이나 시세 조종 등 약한 고리를 노리는 북한 해커의 시도가 계속될 수 있다”고 말했다.

“디도스 의심… 오후 3시 탐지·차단”판결문·사건진행 확인 등 시민 불편전자소송·법원 내부망은 정상 작동5일 합참·與홈페이지 등 공격 받아과기부 “공격 주체, 친러 단체 추정” 전국 법원 홈페이지가 7일 오후 디도스(분산서비스거부·DDoS)로 의심되는 공격을 받아 일시적으로 접속이 중단됐다. 이에 따라 법원 홈페이지를 통한 판결문 열람이나 소송 당사자들의 사건 진행 확인이 어려워지는 등 대국민 서비스가 일부 차질을 빚었다. 지난 5일 국방부 등 행정부와 국민의힘 홈페이지가 디도스 공격으로 마비된 지 이틀 만에 사법부 공격까지 이어지면서 국가기관에 대한 사이버 공격의 우려가 높아지고 있다. 이날 오후 한때 법원 홈페이지에 접속을 시도하면 아무런 화면이 뜨지 않은 채 장기간 접속이 안 되거나, 기다린 끝에 접속이 되더라도 응답 시간이 오래 걸려 내부 기능을 정상적으로 이용할 수 없는 상황이 발생했다. 이런 상황은 각 법원 홈페이지마다 1~2시간가량 이어지다 복구됐다. 법원행정처는 “디도스로 의심되는 공격이 있었으나 법원은 자체 사이버안전센터와 데이터센터를 두고 있어서 홈페이지에 대한 의심 공격을 차단했다”며 “오후 3시 21분쯤 공격 탐지를 시작해 즉시 차단했다”고 밝혔다. 이어 “특정 사이트에 대한 접속 폭주로 후순위 이용자의 접속이 일시 지연되는 상황이 간헐적으로 발생했다”고 덧붙였다. 디도스 공격은 웹사이트나 온라인서비스에 대량의 트래픽을 발생시켜 서비스를 마비시키는 사이버 공격 방식이다. 사건검색 등 대국민 서비스를 제공하는 법원 홈페이지 접속이 일시 중단됨에 따라 소송 당사자들과 민원인들이 불편을 겪었다. 다만 전자소송이나 법원 내부망, 인터넷 등기소 등에는 문제가 없는 것으로 파악됐다. 법원행정처는 “법원 내부망은 인터넷과 차단돼 있어 공격 대상이 아니고 원활하게 서비스 중”이라고 설명했다. 하지만 일각에서는 전자소송 홈페이지의 접속이 제대로 이뤄지지 않았다는 이야기가 나왔다. 서초동의 한 변호사는 “전자소송 기록을 보기 위해 접속했는데 끊김 현상이 있어서 컴퓨터를 껐다 켰다 반복했다”고 말했다. 지난 5일에도 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘 홈페이지가 디도스 공격을 받아 접속되지 않다가 복구됐다. 과학기술정보통신부는 공격 주체가 단일한 친러 성향의 해킹 그룹으로 추정된다고 밝혔다. 앞서 법원 전산망에 대한 북한 해킹조직의 침투로 2년 넘게 개인정보가 유출된 사실이 지난해 말 뒤늦게 알려지면서 논란이 불거진 바 있다. 경찰청 국가수사본부가 정부 합동조사를 진행한 결과 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월부터 지난해 2월까지 대법원 전산망에서 개인정보 등 총 1014GB(기가바이트)의 자료를 빼낸 것으로 드러났다. 법원행정처 관계자는 “국가정보원, 국가수사본부 등과 긴밀히 공조하며 대응 중”이라며 “디도스 공격이 이번같이 큰 규모로는 올해 처음이고 근래에도 많지는 않았다”고 말했다.

오후 3시 21분 공격 탐지...일시 지연 등 마비소송 당사자 등 불편...“제출 기한 놓칠 수도”5일 국방부·합참 등도 디도스 공격 전국 법원 홈페이지가 7일 오후 디도스(분산서비스거부·DDoS)로 의심되는 공격을 받아 일시적으로 접속이 중단됐다. 이에 따라 법원 홈페이지를 통한 판결문 열람이나 소송 당사자들의 사건 진행 확인이 어려워지는 등 대국민 서비스가 일부 차질을 빚었다. 지난 5일 국방부 등 행정부와 국민의힘의 홈페이지가 디도스 공격으로 마비된 지 이틀 만에 사법부 공격까지 이어지면서 국가기관에 대한 사이버 공격의 우려가 높아지고 있다. 이날 오후 한때 법원 홈페이지에 접속을 시도하면 아무런 화면이 뜨지 않은 채 장기간 접속이 안 되거나, 기다린 끝에 접속이 되더라도 응답 시간이 오래 걸려 내부 기능을 정상적으로 이용할 수 없는 상황이 발생했다. 전국 최대 법원인 서울중앙지법 홈페이지는 오후 5시 기준 ‘사이트에 연결할 수 없다’는 안내 문구만 떴다. 법원행정처는 “디도스로 의심되는 공격이 있으나 법원은 자체 사이버안전센터와 데이터센터를 두고 있어서 홈페이지에 대한 의심 공격을 차단 중”이라며 “오후 3시 21분쯤 공격 탐지를 시작해 즉시 차단했다”고 밝혔다. 이어 “특정 사이트에 대한 접속 폭주로 후순위 이용자의 접속이 일시 지연되는 상황이 간헐적으로 생기고 있다”고 덧붙였다. 디도스 공격은 웹사이트나 온라인서비스에 대량의 트래픽을 발생시켜 서비스를 마비시키는 사이버 공격 방식이다. 다만 전자소송이나 법원 내부망, 인터넷 등기소 등에는 문제가 없는 것으로 파악됐다. 법원행정처는 “법원 내부망은 인터넷과 차단돼 있어 공격 대상이 아니고 원활하게 서비스 중”이라고 설명했다. 사건검색 등 대국민 서비스를 제공하는 법원 홈페이지 접속이 일시 중단됨에 따라 소송 당사자들과 민원인들이 불편을 겪었다. 일각에서는 전자소송 홈페이지도 접속이 원활치 않았다는 이야기도 나온다. 서초동의 한 변호사는 “항소장 제출 기한이 오늘이었는데 홈페이지 마비로 제출하지 못했더라면 구제받기 어려웠을 것”이라고 말했다. 지난 5일에도 국방부와 합동참모본부, 환경부, 행정안전부 산하 국가정보자원관리원, 국민의힘 홈페이지가 디도스 공격을 받아 접속되지 않다가 복구됐다. 과학기술정보통신부는 공격 주체가 단일한 친러 성향의 해킹 그룹으로 추정된다고 밝혔다. 앞서 법원 전산망에 대한 북한 해킹조직의 침투로 2년 넘게 개인정보가 유출된 사실이 지난해 말 뒤늦게 알려지면서 논란이 불거진 바 있다. 대법원은 지난해 2월 내부 전산망에 악성코드를 탐지해 차단했음에도, 해킹 공격 사실을 신고하는 등 후속 조치는 밟지 않고 국가정보원의 기술 지원만 요청했다. 지난해 11월 언론에 유출 사실이 알려지면서 대법원은 뒤늦게 개인정보보호위원회에 신고했다. 이후 경찰청 국가수사본부는 지난 5월 정부 합동조사 결과 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월부터 지난해 2월까지 대법원 전산망에서 개인정보 등 총 1014GB(기가바이트)의 자료를 빼낸 사실을 발표했다. 천대엽 법원행정처장은 지난 3월 사법부 전산망 해킹과 관련해 사과하며 “보안역량 강화를 위한 종합대책 수립을 진행하고 있다”고 밝힌 바 있다. 법원행정처는 “사법부도 국가정보원, 국가수사본부 등의 기관과 긴밀히 공조하며 대응 중”이라며 “디도스는 이번같이 큰 규모로는 올해 처음이고 근래에도 많지는 않았다”고 말했다.

우크라이나 정부가 러시아에 파병된 북한군과 동행한 장성 세 명의 이름을 공개했다고 로이터 통신이 31일(현지시간) 보도했다. 우크라이나 대표단은 전날 유엔 안전보장이사회(안보리)에 제출한 성명에서 김영복 조선인민군 총참모부 부총참모장과 리창호 정찰총국장, 신금철 인민군 소장이 이번에 러시아에 입국한 최소 500여명의 북한군 장교 중에 포함됐다고 밝혔다. 김영복 부총참모장은 김정은 북한 국무위원장의 군부 측근 중 한 명으로, 최근 국가정보원은 김영복의 러시아 파견 사실을 공식 확인한 바 있다. 앞서 일본 교도 통신은 러시아군이 작성한 북한군 파견부대 간부 명단을 우크라이나 당국이 입수했는데 그 명단의 가장 높은 곳에 김영복의 이름이 있었다고 보도했다. 미국 싱크탱크 스팀슨센터의 북한 전문가 마이클 매든은 김영복이 이번에 러시아에 파병된 북한 특수 부대인 11군단 등이 포함된 조선인민군 경보교도지도국을 운영하고 있다고 전했다. 김영복은 올해 들어 특수 부대 훈련을 포함해 총 7번의 공개 석상에서 김정은 위원장과 함께 모습을 드러낸 바 있다. 지난 9월 11일 현재 러시아에 파병된 것으로 알려진 ‘폭풍군단’(제 11군단) 훈련기지 시찰 때도 김영복은 리창호와 함께 김 위원장을 호위했다. 수개월 전부터 이뤄진 김 위원장의 폭풍군단 시찰은 파병을 염두에 둔 대외(러시아) 신뢰성 확보 차원이었던 셈이다. 김 위원장이 러시아 파병에 얼마나 심혈을 기울였는지, 또 얼마나 ‘큰 그림’을 그려왔는지 알 수 있는 대목이다. 김영복과 함께 러시아에 파견된 리창호 정찰총국장은 2022년 정찰총국장 자리에 올랐으며 지난해부터 우리 정부의 제재 대상에 포함된 인물이다. 정찰총국은 북한군 총참모부 산하 기관으로 대남·해외 공작 활동을 총괄하는 북한의 정보 기관이다. 우리 정부는 정찰총국이 북한의 여러 해킹조직의 배후로 불법 사이버 활동을 통해 외화벌이와 기술 탈취 등을 해온 것으로 보고 있다. 리창호는 이달 초만 해도 중장(별 2개)이었으나 최근 상장(별 3개) 계급장을 달고 등장해 승진한 사실이 확인되기도 했다. 김영복과 마찬가지로 리창호 정찰총국장도 올해 들어 김정은 국무위원장의 동해 해군 기지 현지지도 등 여러 주요 행사에서 김 위원장을 수행했다고 로이터는 전했다. 마지막으로 언급된 신금철 소장의 경력은 아직 분명하지 않으며, 그가 원스타 장군이라는 사실을 고려했을 때 김영복과 리창호가 러시아를 떠난 이후에 북한군을 지휘할 것으로 추정됐다. 이들 장성이 러시아에 김정은 위원장의 대리인 자격으로 보내졌을 것이라면서 이번 파병은 “조선인민군에는 매우 크고 거의 전례 없는 파병”이라고 매든은 로이터에 말했다. 그러면서 “(파병과 관련한) 행정 및 연락 업무도 매우 많기 때문에 김정은은 조선인민군 부대의 존재가 (러시아에서) 완전히 자리잡을 때까지 김영복을 (자신의) 대리 결정자로 보낸 것”이라고 덧붙였다. 한편 우크라이나 대표단이 이번에 유엔에 제출한 성명에 따르면 러시아에 파병된 북한군은 각 최소 2000∼3000명으로 이뤄진 부대로 편성된 뒤, 그 존재를 은폐하기 위해 러시아군 부대에 통합된다는 계획인 것으로 전해졌다.

윤석열 대통령은 11일 사이버안보에 있어 “공격이 최선의 방어”라며 공세적 방어의 중요성을 강조했다. 윤 대통령은 이날 서울 강남구 코엑스에서 열린 ‘사이버 서밋 코리아 2024’ 개회식에 참석해 “전체주의 국가를 배후에 둔 해킹조직과 사이버 범죄자들이 고도화된 사이버 기술을 악용해 더욱 다양하고 정교한 방식의 공격을 펼치고 있다”며 이렇게 말했다. 윤 대통령은 “대한민국은 오랫동안 북한을 비롯한 적대세력의 사이버 공격에 대응하며 방어 능력과 안보 체계를 발전시켜 온 사이버안보 강국”이라며 “이번 행사를 계기로 인도 태평양 지역을 대표하는 ‘국제 사이버 훈련 허브’로 국제적 위상을 확립해 나갈 것”이라고 강조했다. 세계 각국이 국제 연대를 바탕으로 한 ‘능동형 사이버안보’로 전환하는 분위기에 따라 우방국과의 사이버 공조에도 힘을 쏟겠다고 했다. 윤 대통령은 첨단기술·사이버 안보 전시 부스를 관람하며 이스트소프트 전시관에서는 AI(인공지능) 인간을 통한 실시간 대화 서비스 및 개인 고유식별정보를 보호하는 사이버안보 기술을, 국내 최초로 위성 시스템을 수출한 세트렉아이 전시관에서는 어떤 위성과 위성 보안 장비를 만드는지 등 설명을 들었다. 이어 지난해 7월 미국 워싱턴DC 나토(북대서양조약기구) 정상회의에서 약속한 한국 주도의 첫 국제 사이버 훈련(APEX 2024)을 참관하고 관계자들을 격려했다. 이 대회는 2017년부터 개최돼 올해는 일반부문 11팀, 공공부문 20팀, 청소년 부문 10팀 등 총 41팀 150여명이 사이버 대응 역량을 겨루는 방식으로 진행된다. 이 자리에서 윤 대통령은 “선수들이 일종의 사이버 올림픽을 하는 거군요”라며 대회 참가자들을 응원하기도 했다. 대회 참관 후 이번 행사에 참여한 마트 누르마 나토 사이버방위센터장이 “나토와 아태지역 간 협력 강화를 위해 대통령께서 보여주신 리더십에 경의를 표한다”고 말하자, 윤 대통령은 “나토와의 협력을 더욱 확대해 나가겠다”고 약속하기도 했다. 윤 대통령은 조원희 사이버작전사령관에게는 “공격이 최선의 방어다. 공세적 방어를 해야 한다”고 주문했다. 국가정보원과 국가보안기술연구소 공동 주최로 개최된 이번 행사는 ‘인공지능(AI)·우주 시대, 글로벌 사이버안보를 위한 한발 앞선 노력’을 주제로 열렸고, 참석자들은 사이버 위협에 대한 국제사회 공조 방안 등 사이버안보 이슈에 대한 논의를 진행했다. 이날 개회식에는 국회에서 신성범 정보위원장 등이, 정부에서는 유상임 과학기술정보통신부 장관 등이 참석했으며 대통령실에서는 임종인 사이버 특별보좌관, 왕윤종 국가안보실 3차장 등이 자리했다.

경찰청 ‘사이버범죄 대응 국제심포지엄’에 현직 대통령 첫 참석 윤석열 대통령은 27일 ‘2024 국제 사이버범죄 대응 심포지엄’에서 “국가가 배후에 있는 해킹조직이 사이버공격을 벌여 개인과 기업은 물론 국가안보를 위협하는 수준에 이르렀다”고 밝혔다. 윤 대통령은 이날 서울의 한 호텔에서 개최된 심포지엄에서 “AI(인공지능)를 비롯한 신기술이 눈부시게 발전하면서 사이버범죄에 맞서는 일도 갈수록 어려워진다”며 이렇게 밝혔다. 윤 대통령은 최고 수준의 사이버범죄 대응 역량을 갖추기 위해 노력한 참석자들을 격려하고, 대한민국이 디지털 연대의 글로벌 리더가 되고자 하는 의지를 표명하기 위해 심포지엄에 참석했다고 대통령실은 설명했다. 올해로 25회를 맞은 경찰청이 주최하는 국제행사에 대통령이 참석한 것은 이번이 처음이다. 윤 대통령은 축사에서 “사이버안보 위협에 대한 공세적 대응 등을 위해 지난 2월 ‘국가 사이버 안보전략’을 발표했다”며 “이를 토대로 최정예 인력을 양성하고, 사이버보안 기술 개발 속도를 더욱 높여나갈 것”이라고 밝혔다. 또한 “작년 8월 ‘캠프 데이비드 한미일 정상회의’와 올해 7월 ‘NATO 정상회의’에서 사이버안보를 위한 국제사회의 연대와 협력의 필요성을 강조했다”며 “사이버 공간에서 일어나는 범죄에 더 효과적으로 대응하기 위해서는 국제사회가 함께 힘을 모아야 한다”고 강조했다. 이어 “대한민국 정부는 AI 디지털 기술이 인류의 자유와 복지를 확장하고, 그 혁신의 혜택을 미래 세대가 누릴 수 있도록 필요한 지원과 관심을 계속 이어 나가겠다”고 했다. 윤 대통령은 K-과학치안 전시관에서 파손된 디지털기기를 복구해 포렌식 작업을 하는 과정과 AI 기술을 활용해 CCTV 영상 속 아동의 이상행동을 분석하고 아동학대 장면을 신속히 검출하는 시스템의 시연을 관람했다. 이날 개회식에는 국내외 법집행기관과 글로벌 IT 기업, 주요 국제기구(유엔·인터폴·유로폴·아세아나폴·유럽평의회), 미국·영국·프랑스·독일·일본 등 주한 외교사절이 참석했다. 정부에서는 이상민 행정안전부 장관, 조지호 경찰청장이 참석했고 대통령실에서는 임종인 사이버특별보좌관, 왕윤종 국가안보실 3차장, 신용석 사이버안보비서관, 조상명 국정상황실장 등 300여 명이 참석했다.