북한의 대표적인 해킹조직들이 최소 1년 반 전부터 국내 방산업체들을 상대로 전방위적으로 공격한 사실이 밝혀졌습니다.
금융·국가기관·암호화폐 해킹을 주로 자행하는 북한의 해커부대 3곳이 모두 83곳의 방산업체를 공격했고, 피해를 당한 업체는 경찰 수사가 시작되기 전까지 이 사실을 몰랐던 것으로 드러났습니다.
경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 노리고 합동으로 공격한 사실이 처음 확인됐다고 밝혔습니다.
경찰은 북한의 해킹 공작 흐름을 확인하는 과정에서 국내 방산업체 10여곳이 해킹당한 사실을 확인했습니다.
해킹 조직들은 방산업체에 직접 침투하거나 상대적으로 보안이 취약한 협력업체를 해킹해 원청업체 서버의 계정 정보를 탈취한 뒤 주요 서버에 침투해 악성코드를 유포하는 수법을 썼습니다.
해킹조직별로 공격 방식도 다양했습니다.
'라자루스'는 지난 2022년 11월 한 방산업체의 전산망에 악성코드를 감염시켜 정보 탈취를 시도습니다.
해당 방산업체는 해킹 방지를 위해 내외부 전산망을 분리해놨지만 라자루스는 둘을 잇는 연계 시스템의 포트를 통해 업체 내부망을 장악했습니다.
북한 라자루스 해킹 조직 방산 기술 탈취 수법 〈자료제공=경찰청〉
'안다리엘'의 경우 2022년 10월부터 방산 협력업체를 원격으로 유지·보수하는 회사의 계정정보를 탈취해 등의 방산 협력업체의 서버에 악성코드를 설치한 뒤 방산기술 자료를 빼냈습니다.
'김수키'는 지난해 4월부터 방산 협력업체의 이메일 서버에서 로그인 없이 외부에서 이메일로 주고 받은 대용량 파일을 내려받을 수 있다는 취약점을 악용해 기술 자료를 빼돌렸습니다.
경찰은 이번 수사로 최소 1년 반 전부터 비교적 최근까지 해킹 공격이 있었다는 사실을 확인했습니다.
다만 구체적인 범행 기간과 전체적인 피해 규모는 파악이 어렵다고 밝혔습니다.
국수본 관계자는 "피해 규모는 관리·감독 기관인 국방부와 방위사업청에서 심도 있게 들여다볼 예정"이라고 설명했습니다.
북한이 탈취를 시도한 구체적인 방산기술과 국가전략기술의 유출 여부는 국가 보안 사항이라는 이유로 밝히지 않았습니다.
국수본 관계자는 "북한 해킹조직의 방산기술 탈취 공격이 지속될 것으로 판단한다"며 "방산업체뿐 아니라 협력업체까지 자체적으로 보안을 강화하도록 방사청과 업무협약을 맺어 협력을 강화할 계획"이라고 말했습니다.