북한의 해킹조직들은 상대적으로 보안이 취약한 외주업체의 서버나 협력업체 직원의 개인 e메일 계정을 해킹하는 ‘우회 전략’으로 국내 방산업체들의 정보를 빼낸 것으로 드러났다. 경찰이 북한 해킹에 보안이 뚫린 또 다른 국내 방산업체 10여 곳을 조사한 결과다.

23일 경찰청 국가수사본부는 북한 정찰총국 산하 해킹조직 김수키와 안다리엘, 라자루스가 2022년 10월부터 지난해 9월까지 국내 방산업체(83곳)를 대규모로 공격해 이 중 10여 곳이 실제로 해킹된 것으로 파악됐다고 밝혔다. 이들이 보유한 방산 기술 일부가 북한으로 넘어간 것으로 추정되는 가운데, 구체적인 피해 규모는 파악되지 않았다.

경찰이 확인한 북한의 공격 방식은 △방산업체 서버를 관리하는 외주업체 공격 △방산업체 서버 담당자 PC 공격 등으로 다양했다. 안다리엘은 2022년 10월경 방산업체 서버를 원격으로 관리·보수하는 협력업체 직원의 개인 e메일 계정을 알아냈다. 이 계정이 사내 e메일과 연동된 탓에 안다리엘은 협력업체 서버를 통해 방산업체의 보안을 뚫을 수 있었다. 안다리엘은 해당 방산업체의 자료를 북한이 보유한 해외 클라우드 서버로 빼돌린 것으로 파악됐다.

다른 해킹조직 김수키는 방산업체 직원이 e메일을 주고받을 때 대용량 첨부파일이 저장되는 서버 관리업체를 공격해 기술 일부를 탈취했다. 해당 서버에 악성코드를 심은 뒤 방산업체 서버에 이를 내려받는 방식이었다. 라자루스는 2022년 11월경 방산업체 직원 PC에 악성코드를 심은 뒤 방산업체 서버에 이를 퍼뜨렸다. 이후 기술을 개발하는 부서 직원 PC 6대에 침투하는 데 성공했고, 개발 기술 관련 자료 일부를 해외로 전송하기도 했다.

경찰은 이번 해킹에 사용된 인터넷주소(IP주소)와 악성코드 종류, 수법 등을 바탕으로 북한 해킹조직의 소행으로 판단했다. 조사 결과 중국 선양 지역에서 특정 IP주소가 해킹에 동원된 내역이 확인됐는데, 해당 IP주소는 2014년 한국수력원자력 해킹 공격 때 쓰였던 것과 같다는 것이다. 경찰 관계자는 “북한의 해킹 기술은 날로 고도화되고 있다”며 “방산 기술을 노린 북한의 해킹 시도는 꾸준히 이어질 것”이라고 내다봤다.

해킹당한 업체 대다수는 경찰 수사가 시작되기 전까지 피해 사실을 알지 못한 것으로 파악됐다. 방산업계 전반의 보안 관리가 허술한 게 아니냐는 지적이 나오는 대목이다. 경찰청은 방산업체와 협력업체 등에 내부망과 외부망을 분리하고 e메일 비밀번호를 주기적으로 바꾸는 등 보안 조치를 권고했다.

이상환 기자 payback@donga.com
이수연 기자 lotus@donga.com
송유근 기자 big@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지