미국 법무부가 마우이 랜섬웨어를 유포한 북한 해커들로부터 50만 달러(약 6억 5480만 원) 상당의 비트코인을 압수했다.
미 법무부는 “그동안 북한 해커들에게 몸값으로 지불했거나 몸값 세탁에 사용된 가상자산을 몰수하기 위해 캔자스 지역에 고소장을 전달했다. 2022년 5월 FBI는 약 50만 달러 상당의 자금에 대해 봉인된 압수 영장을 신청했다. 압수된 자금에는 캔자스주와 콜로라도주의 의료 제공자들이 지불한 몸값이 포함돼 있다”라고 설명했다.
2021년 5월, 북 해커들은 캔자스주의 의료 센터 서버를 감염시켰다. 캔자스 병원은 암호 해독기를 받고 암호화된 파일을 복구하기 위해 비트코인으로 약 10만 달러(약 1억 3096만 원)의 몸값을 지불하기로 결정했다. 캔자스 의료 센터는 사건을 조사한 FBI에 알렸고, 이전에 알려지지 않은 마우이 랜섬웨어를 식별하고 중국에 기반을 둔 자금 세탁 업체에 대한 지불을 추적할 수 있었다.
2022년 4월, FBI는 캔자스 병원을 통해 압수된 가상자산 계정 하나 중에 약 12만 달러(1억 5715만 원)의 비트코인이 지불된 것을 확인했다.
연준은 이 자금이 마우이 랜섬웨어에 의해 피해를 입은 콜로라도의 한 의료 제공자와 관련이 있음을 확인했다. 2022년 5월 FBI는 위협 행위자들이 캔자스 및 콜로라도 의료 제공자로부터 지불금을 받는데 사용했던 2개의 암호화폐 계정을 압수했다. 캔자스 지역은 해커들의 자금을 몰수하고 훔친 돈을 피해자들에게 돌려주기 위한 절차를 시작했다.
미 법무부의 매튜 G. 올슨(Matthew G. Olsen) 법무차관은 “해킹 사건을 법 집행 기관에 보고하고 수사에 협조하는 것은 미국을 보호할 뿐만 아니라 중요한 사업이다. 이러한 몸값 피해자에 대한 상환은 법 집행 기관과 협력해야 하는 이유를 보여준다”라고 말했다.
7월 초 FBI, CISA, 미국 재무부는 의료 부문 조직을 겨냥한 공격에서 마우이 랜섬웨어를 사용하는 북한 관련 위협 행위자를 경고하는 공동 권고를 발표했다.
미 법무부는 “FBI, CISA, 미 재무부는 북한이 악용한 마우이 랜섬웨어에 대한 정보를 제공하기 위해 이 공동 사이버 보안 권고(CSA)를 발표했다. 최소 2021년 5월부터 북한이 후원하는 해커들이 의료 및 공중 보건(HPH) 부문 조직을 공격하고 있다”라고 말했다.
의료 및 공중 보건(HPH) 조직에 대한 북 해커의 공격은 2021년 5월에 시작됐으며, 전문가들은 마우이 랜섬웨어 사용과 관련된 여러 사례를 관찰했다.
북 해커들은 마우이 랜섬웨어를 사용해 전자 건강 기록 서비스, 진단 서비스, 영상 서비스, 인트라넷 서비스 등 여러 의료 서비스를 제공하는 서버를 암호화했다. 관련 보고서에 따르면, 공격의 표적이 된 HPH 섹터 조직이 장기간 동안 제공하는 서비스가 중단되기도 했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
