韓 방산업체 北 해킹에 당해
경찰 조사 전까지 피해 몰라
김정은 지시에 의한 것 추정
지난 23일 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사에 착수한 결과 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 목표로 1년 6개월 전부터 합동으로 사이버 공격한 사실이 확인됐다고 밝혔다.
경찰은 북한 해킹의 흐름을 확인하는 과정에서 확인된 자체 첩보와 관계기관 간 사이버 위협 정보 공유를 기반으로 국내 방산업체 10여 곳에서 해킹 피해를 입었다고 전했다.
또 해킹에 사용된 IP 주소와 악성코드로 소프트웨어 취약지를 집중적으로 악용해 경유지 서버를 구축하는 방식 등의 근거로 북한 해킹 공격을 판단했다.
국내 방산업체 83곳 가운데 일부 피해사례는 중국 선양 인근에서 특정 IP 내역이 확인됐는데, 지난 2014년 한국수력원자력 공격 때 사용된 IP와 동일한 것으로 확인됐다.
북한의 해킹조직은 주로 직접적인 공격으로 방산업체를 해킹했지만, 상대적으로 보안이 취약한 방산 협력업체부터 단계적으로 접근한 정황도 드러났다.
북한의 수법은 협력업체를 해킹해 방산업체의 서버와 계정정보를 탈취한 뒤 서버에 무단으로 침투해 악성코드를 유포하여 정보를 빼앗았다.
경찰에 따르면 북 해킹조직 라자루스는 지난 2022년 11월부터 방산업체 A사의 외부망 서버에 접근해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 이용해 회사 내부망까지 침투해 장악했다.
이후 개발팀 직원 컴퓨터를 비롯해 내부망 컴퓨터 6대에서 기밀 등 중요한 자료를 수집해 국외 클라우드 서버로 이동했다.
공격당한 업체 대부분은 경찰의 수사 전까지 피해 사실을 인지하지 못해 방산업체의 보안 관리가 전반적으로 허술한 것이 아니냐는 지적이 나온다.
안다리엘의 경우 2022년 10월경 방산 협력업체 B사 등을 원격으로 유지 및 보수를 지원하는 C사의 계정정보를 조사한 뒤 B사 등의 서버에 악성코드를 투입해 방산기술 자료를 갈취했다.
안다리엘은 C사 직원의 개인 상용 이메일 계정정보를 알아낸 뒤 사내 이메일로 접속해 이어 김수키는 2023년 4∼7월 방산 협력업체 D사의 서버에서 이메일 로그인 없이 외부에서 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용하는 수법을 사용했다.
경찰은 이번 수사로 오랜 기간 해킹 공격이 있었다는 사실을 확인했지만, 구체적인 피해 규모와 범행 기간에 파악이 어려운 상태로 알려졌다.
경찰은 북한이 국내 방산기술 빼내기라는 공통 목표를 통해 다수의 해킹조직을 이용해 총력전 형태로 공격을 감행했다고 설명했다. 그 배후에는 북한의 김정은 국무위원장의 구체적인 지시를 따랐을 것으로 추정한다.
한편 방산업체 해킹과 관련해 북한과 소통한 혐의로 수사하는 내국인이나 보안 유지를 소홀히 한 책임을 묻는 등의 수사는 진행되지 않은 것으로 알려졌다.
국수본은 수사와 더불어 올해 1~2월 방사청 및 국가정보원 등과 방산업체를 대상으로 합동 점검을 진행해 예방 조치를 했다.
댓글0