[파이낸셜뉴스]국내 방산 업체가 북한에 해킹당한 사실이 밝혀졌다. 피해 방산 업체는 총 83곳 중 10여개에 달한 것으로 드러났다.
23일 경찰에 따르면 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사한 결과, 라자루스・안다리엘・김수키 등으로 알려진 북한 해킹조직들이 국내 방산기술 탈취하기 위해 전방위적으로 공격하고 있는 것을 확인하고 보안 조치를 취했다.
경찰에 따르면 북한 해킹조직은 방산업체를 직접 침투하기도 하고, 상대적으로 보안이 취약한 방산 협력업체를 해킹해 방산 업체의 서버 계정정보를 탈취한 후 주요 서버에 무단으로 침투해 악성코드를 유포한 것으로 파악됐다.
경찰은 관계기관과 사이버 위협정보 공유를 통해 공격 수법 등을 확인했다.경찰청은 △공격에 사용한 아이피(IP) 주소 △경유지 구축 방법 △공격에 사용한 악성코드 등을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다.
경찰청은 방위사업청 등 관계기관 합동으로 지난 1월 15일부터 2월 16일까지 특별점검을 실시해 피해 보호조치를 병행했고, 특별점검 과정에서 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다.
일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로 드러났다.
경찰 관계자는 "이번 사건을 통해 북한 해킹조직이 방산기술 탈취라는 공동의 목표를 설정해 다수의 해킹조직을 투입했다"며 "총력전 형태로 공격을 진행하는 등 공격 수법은 더욱 치밀하고 다양하게 진행하고 있는 것으로 확인됐다"고 말했다.
경찰에 따르면 공격 유형은 총 3가지로 분류된다. 우선 라자루스 해킹조직으로 불리는 공격 유형은 피해업체가 내부망과 외부 인터넷망을 분리 운영했지만, 망 연계 시스템의 관리 소홀을 틈타 내부망으로 침입한 사례다. 북한 해킹조직은 지난 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다. 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집해 국외 클라우드 서버로 자료를 빼돌렸다. 내부망 컴퓨터 6대에서 자료가 유출된 사실이 확인됐는데, 피해업체와 국외 클라우드 서버 등 분석을 통해 유출된 자료의 흔적을 확인할 수 있었다.
안다리엘 해킹조직은 방산 협력업체의 서버를 유지 보수하는 업체 직원이 사용하는 계정을 탈취해 악성코드를 감염시켜 방산 자료를 유출한 했다. 북한 해킹조직은 지난 2022년 10월경부터 방산 협력업체인 B사 등을 원격으로 유지 보수하는 C사의 계정정보를 탈취해 B사에 악성코드를 설치했고 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다.
북한은 C사의 이메일 계정정보를 탈취하고 사내 이메일로 접속해 이메일 송수신 자료를 탈취했다. 일부 직원들이 상용 이메일 계정과 사내 업무시스템 계정을 같이 사용하는 허점을 악용했다.
마지막으로 김수키 해킹조직은 사내에서 사용하는 그룹웨어 이메일서버의 취약점(로그인 없이 외부에서 이메일으로 송수신한 대용량 파일을 다운로드 가능)을 악용했다.
북한 해킹조직은 지난해 2023년 4월부터 7월까지 방산 협력업체 D사 이메일서버에서 로그인 없이 외부에서 이메일으로 송수신한 대용량 파일을 다운로드 가능한 취약점을 악용해 피해업체의 기술자료를 탈취했다. 경찰에 따르면 이렇게 피해 받은 업체는 10여개에 달한 것으로 드러났다.
경찰은 북한이 탈취를 시도한 구체적인 방산기술 유형과 국가전략기술의 유출 여부 등도 국가 보안 사항이라는 이유로 밝히지 않았다.
국수본 관계자는 "기존에 김수키는 정부기관 및 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할이 나뉜 걸로 알았으나 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 전방위적으로 공격했다는 사실이 확인됐다"고 말했다.
경찰 관계자는 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 이메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외IP 접속 차단 등의 보안 조치를 강화해 달라"고 당부했다.
이어 "경찰청은 앞으로도 북한 등 국가배후 해킹조직의 추적 수사를 지속하는 한편, 사이버 공격 동향과 대응 사례를 방위사업청, 국가사이버위기관리단 등 관계기관과 적극적으로 공유해 국가안보의 위협에 선제적으로 대응할 예정이다"고 밝혔다.
beruf@fnnews.com 이진혁 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지