북한의 해킹조직들이 손잡고 국내 방산 기술 탈취 목적으로 해킹 공격을 이어온 사실이 확인됐다.
경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사한 결과 라자루스·안다리엘·김수키로 알려진 북한 해킹조직들이 국내 방산기술 탈취 목적으로 합동 공격한 사실을 확인했다고 23일 밝혔다.
경찰청에 따르면, 이들 해킹조직은 방산업체를 직접 침투하기도 하고 상대적으로 보안이 취약한 방산 협력업체를 해킹해 방산 업체의 서버 계정정보를 탈취한 후 주요 서버에 무단으로 침투해 악성코드를 유포한 것으로 파악됐다. 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다.
이번 사건을 통해 북한 해킹조직이 방산기술 탈취라는 공동의 목표를 정하고 다수의 해킹조직을 투입하는 총력전 형태로 공격을 진행하는 등 수법이 더욱 치밀하고 다양하게 진행하고 있는 것으로 확인됐다.
라자루스는 지난 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집하여 국외 클라우드 서버로 자료를 빼돌렸다.
안다리엘의 경우 지난 2022년 10월경부터 B 방산 협력업체 등을 원격으로 유지 보수하는 C 업체의 계정정보를 탈취해 B 방산 협력업체 등에 악성코드를 설치했다. 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다.
이후 안다리엘은 C 업체 직원의 개인 상용 전자우편 계정정보를 탈취하고 사내 전자우편으로 접속해 전자우편 송수신 자료를 탈취했다. 일부 직원들이 상용 전자우편 계정과 사내 업무시스템 계정을 같이 사용하는 허점을 악용한 것이다.
김수키는 지난해 4월부터 7월까지 D 방산 협력업체 전자우편서버에서 로그인 없이 외부에서 전자우편으로 송수신한 대용량 파일을 다운로드 가능한 취약점을 악용해 피해업체의 기술자료를 탈취했다.
경찰청은 “방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망되니 방산업체뿐만 아니라 협력업체에 대해서도 내외부망 분리, 전자우편 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 아이피(IP) 및 불필요한 해외 IP 접속 차단 등의 보안 조치를 강화해 달라”라고 당부했다.
이어 “북한 등 국가 배후 해킹조직의 추적 수사를 지속하는 한편, 사이버 공격 동향과 대응 사례를 방위사업청, 국가사이버위기관리단 등 관계기관과 적극적으로 공유해 국가안보의 위협에 선제적으로 대응할 예정”이라고 밝혔다. [박우진 마켓뉴스 기자]
