<이미지를 클릭하시면 크게 보실 수 있습니다>

북한의 대표적인 해킹 조직 3곳이 국내 방산 업체의 기밀을 빼내기 위해 ‘합동 공격’을 감행한 것으로 확인됐다. 북한의 공격을 받은 방산 업체는 10여 곳으로 피해 업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 인지하지 못한 것으로 알려졌다.

경찰청 국가수사본부 안보수사국은 23일 국가사이버위기관리단과 공조해 국내 방산 기술 유출 사건을 수사한 결과 라자루스·안다리엘·김수키 등으로 알려진 북한 해킹 조직들이 국내 방산 기술을 탈취하기 위해 전방위적으로 공격하고 있는 것을 확인했다고 밝혔다.

경찰 조사 결과 북한 해킹 조직은 10여 곳의 국내 방산 업체에 직접 침투하거나 상대적으로 보안이 취약한 협력 업체의 서버에 무단으로 접근해 악성코드를 유포한 것으로 파악됐다.

경찰은 국가사이버위기관리단 등 관계 기관과 사이버 위협 정보 공유를 통해 공격 수법 등을 확인했다. 이후 해킹 주체가 북한의 해킹 조직인 것으로 판단, 올 1월 15일부터 2월 16일까지 방위사업청과 국가정보원 등과 함께 피해 보호 조치를 진행했다.

북한의 최대 해킹 조직 중 하나인 ‘라자루스’는 망 연계 시스템의 관리 소홀을 틈타 피해 업체의 내부망으로 침입했다. 라자루스는 2022년 11월부터 한 방산 업체 외부망 서버를 해킹해 악성코드를 심은 후 테스트 목적으로 열려 있는 망 연계 시스템의 포트를 통해 회사 내부망을 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망의 중요 자료를 수집한 뒤 국외 클라우드 서버로 자료를 빼돌렸다. 경찰은 해당 업체 내부망 컴퓨터 6대에서 자료가 유출된 사실을 파악했다.

북한 정찰총국 산하 단체인 라자루스는 지난해 2월부터 우리나라 법원행정처의 전산망을 해킹해 335GB 규모의 재판 기록과 소송 서류 등의 정보를 탈취한 것으로 알려졌다. 2016년에는 방글라데시 중앙은행 해킹 사건을 일으키기도 했다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

다른 해킹 조직 ‘안다리엘’은 방산 협력 업체의 서버를 유지·보수하는 업체 직원이 사용하는 계정을 탈취하는 방식으로 해킹을 진행했다. 안다리엘은 2022년 10월께부터 한 방산 협력 업체를 원격으로 유지·보수하는 업체 직원의 개인 전자우편 계정 정보를 탈취해 해당 방산 협력 업체 등에 악성코드를 설치했다. 이 과정에서 감염된 서버에 저장된 방산 기술 자료가 유출됐다.

한국원자력연구원·한국항공우주산업 해킹 사건을 일으켰던 ‘김수키’는 지난해 4월부터 7월까지 특정 방산 협력 업체 전자우편 서버에서 로그인 없이 외부에서 전자우편으로 송수신한 대용량 파일을 다운로드할 수 있다는 점을 이용해 피해 업체의 기술 자료를 탈취했다. 감염된 컴퓨터에는 북한 해커가 기존에 사용한 것으로 확인된 악성코드가 발견되기도 했다.

당초 이들 해킹 그룹들은 공격 분야를 나눠 활동해온 것으로 알려졌었다. 라자루스는 주로 해외 금융기관이나 국내 전산망을, 안다리엘은 국내 방산 업체 등 국방 관련 해킹을 진행해왔다. 김수키는 정부기관이나 정치인 대상 해킹을 주로 담당해왔다.

그러나 이번 사건으로 세 해킹 그룹이 특정 분야에서 공동의 목적을 가지고 업체를 나눠 전방위적인 공격을 감행하고 있다는 사실이 확인됐다. 경찰은 북한이 방산 기술 탈취라는 공동의 목표를 설정해 다수의 해킹 조직을 투입하는 ‘총력전’ 형태로 공격을 진행하는 등 공격 수법이 더욱 치밀하고 다양해졌다고 판단하고 있다. 경찰은 이들 세 곳 외에도 산발적으로 해킹을 시도하는 조직이 더 많다고 보고 있다.

문제는 피해 방산 업체들이 경찰의 조사가 이뤄지기 전까지도 북한 해킹 그룹의 해킹 사실을 모르고 있었다는 점이다. 경찰에 따르면 북한 해커가 심어놓은 것으로 추정되는 악성코드가 수사 때까지 살아 있는 경우도 발견됐다. 경찰은 최근까지도 자료가 북한으로 유출됐을 가능성이 있다고 보고 있다.

경찰청은 “방산 기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망되기 때문에 방산 업체뿐만 아니라 협력 업체에 대해서도 내·외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외 IP 접속 차단 등의 보안 조치를 강화해 달라”라고 당부했다.

경찰은 이번 사건을 계기로 방사청과 양해각서(MOU)를 맺고 방산 기술 유출 위험에 대응할 방침이다. 경찰은 방산 업체가 피해를 입었더라도 협조를 구한 뒤에 수사를 진행해야 하는 상황인데 방산 업체에 대한 관리 감독 권한이 있는 방사청과 업무협약을 체결한다면 시너지 효과가 있을 것이라고 보고 있다.

경찰은 “앞으로도 북한 등 국가 배후 해킹 조직의 추적 수사를 지속하는 한편 사이버 공격 동향과 대응 사례를 방위사업청·국가사이버위기관리단 등 관계 기관과 적극적으로 공유해 국가 안보의 위협에 선제적으로 대응할 예정”이라고 밝혔다.

채민석 기자 vegemin@sedaily.com
[ⓒ 서울경제, 무단 전재 및 재배포 금지]