사회 >

대한항공, SK네트웍스 등 27개사, 北 해킹..."전체 공격시 3.20사건 2.5배"

대한항공 등 한진그룹과 SK네트웍스 등 SK그룹 계열사 전산망이 올해 초 북한의 4차 핵실험 이후 예상됐던 북한 사이버테러 공격에 해킹당한 것으로 드러났다. 이들 계열사는 한 업체의 PC관리시스템을 사용했고 북한은 시스템의 취약성을 발견, 전산망 통제권 및 4만여건의 문서를 탈취했다는 게 경찰 설명이다. 특히 탈취된 문서에는 미군의 F-15전투기 유지보수 자료와 무인정찰기 등 항공관련 자료 등도 포함돼 있는 것으로 전해졌다.

■2014년 7월부터 계열사 전산망 해킹
경찰청 사이버안전국은 대한항공 등 한진그룹 계열사 10곳, SK네트웍스 등 SK그룹 계열사 17곳 등 총 27개 기업이 북한의 사이버테러 공격으로 각종 문서 등을 탈취당했다고 13일 밝혔다. 앞서 북한은 2014년 7월부터 이들 계열사 전산망을 해킹한 것으로 알려졌다.

경찰은 올 1월 북한의 4차 핵실험 직후 예상되는 사이버테러를 차단하기 위해 사전 탐지활동중 2월 북한에서 제작한 것으로 추정되는 악성코드 관련 첩보를 입수, 수사에 착수했다. 경찰은 33종의 북한 악성코드를 확보·분석하고 16대의 공격 서버를 확인한 결과, 북한이 이들 계열사의 문서를 탈취한 뒤 삭제한 흔적을 발견했다. 경찰은 유출된 문서 4만2608건을 복원했다.

경찰은 이와 함께 북한이 원격제어, 정찰, 해킹 기능이 있는 다양한 악성코드를 제작해 주로 중소기업, 대학연구소, 개인홈페이지 등 보안에 취약한 서버를 장악해 공격서버로 활용한 사실도 확인했다고 전했다. 문서를 탈취당한 계열사들이 사용한 PC관리시스템 M업체 고객사인 KT그룹 역시 악성코드 감염 초기단계였다고 경찰은 설명했다. 경찰 관계자는 "KT그룹은 사전 차단으로 피해가 없었으며 M업체의 고객사 160여곳 중 15곳에 대한 해킹 시도가 있었으나 대한항공 등 27개사만 피해를 당한 것으로 파악됐다"고 말했다.

경찰은 수사과정에서 이번 사이버테러에 동원된 IP(아이피)가 2013년 '3·20 방송·금융 전산망 사이버테러'의 공격 IP와 동일한 북한 평양 류경동에 할당된 IP라는 것을 확인했다. '3·20사이버테러' 사건으로 국내 방송 및 금융사의 서버 464대, PC 등 4만8284대가 파괴됐고 10일간의 업무마비로 8823억원 상당의 피해가 발생했다. 북한이 이들 계열사 외에 사전에 해킹한 업체 및 정부기관 등의 전산망을 공격했을 경우 피해규모는 3·20 사이버테러 사건의 2.5배에 달했을 것으로 경찰은 추정했다.

■국가적 규모 사이버테러 준비
북한이 피해 계열사로부터 탈취한 문서에는 미군의 F-15전투기의 외형적 정비나 유지보수에 대한 각종 자료, 중고도무인정찰기의 일부 부품 사진 및 날개부분 설계도면, 병사들이 사용하는 네트워크 전산 설비 자료 등이 대거 포함돼 있다. 경찰은 그러나 F-15전투기의 엔진이나 제어부분, 군 내부 전산망 등 군사기밀 사항의 피해는 없는 것으로 추정된다고 전했다.

경찰 관계자는 "북한은 국가적 규모의 사이버테러를 시도하기 위해 장기간 사전 준비작업을 하고 있는 사실이 드러났다"며 "사이버테러 대상을 폭넓게 확보한 뒤 동시에 공격을 가함으로써 국가적 규모의 혼란을 노렸거나 산업 및 군사기밀에 관한 주요 문서를 장기간에 걸쳐 지속적으로 탈취하기 위한 목적이었을 가능성이 높다"고 설명했다.

pio@fnnews.com 박인옥 기자