방산업체 10여곳 털렸다…北 3개 해킹조직 전방위 해킹 공격

'합동 공격' 확인은 처음
피해 규모 파악 어려워

북한 해킹조직들이 국내 방산기술 탈취를 공통 목표로 최소 1년 6개월 전부터 전방위적인 해킹 공격을 가한 사실이 확인됐다. 국내 방산업체 총 83곳 중 10여곳이 해킹당했으나, 아직 구체적인 피해 규모조차 추산되지 않고 있다.

경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사한 결과, 북한 해킹조직 라자루스·안다리엘·김수키가 국내 방산기술 탈취를 노리고 합동으로 공격한 사실이 처음 확인됐다고 23일 밝혔다.

경찰은 북한의 해킹 공작 흐름을 확인하는 과정에서 입수한 자체 첩보와 관계기관 간 사이버 위협 정보 공유를 토대로 국내 방산업체 10여곳이 해킹당한 사실을 인지했다.

경찰은 공격에 사용된 IP 주소와 악성코드(Nukesped, Tiger RAT 등), 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북한 해킹조직의 소행으로 보고 있다.

일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로 드러났다.

북 해킹조직은 주로 방산업체를 직접 침투했지만, 상대적으로 보안이 취약한 방산 협력업체부터 접근하기도 했다. 협력업체를 해킹해 방산업체의 서버 계정정보를 탈취한 후 주요 서버에 무단으로 침투해 악성코드를 유포하는 수법이다.

해킹조직별로 공격 방식도 다양했다.

라자루스는 2022년 11월부터 방산업체 A사의 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망까지 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망 컴퓨터 6대에서 중요자료를 수집해 국외 클라우드 서버로 빼돌렸다.

라자루스 해킹 수법.[이미지 제공=경찰청]

안다리엘은 2022년 10월께부터 방산 협력업체 B사 등을 원격으로 유지·보수하는 C사의 계정정보를 탈취해 B사 등의 서버에 악성코드를 설치한 후 방산기술 자료를 빼냈다. 안다리엘은 C사 직원의 개인 상용 이메일 계정정보를 알아낸 뒤 사내 이메일로 접속해 송수신 자료를 탈취한 것으로 조사됐다. 일부 직원들이 상용 이메일 계정과 사내 업무시스템 계정에서 동일한 아이디와 비밀번호를 사용하는 허점을 악용한 것이다.

김수키는 지난해 4∼7월 방산 협력업체 D사의 이메일 서버에서 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용해 기술자료를 빼돌렸다.

경찰은 이번 수사로 최소 1년 6개월 전부터 비교적 최근까지 해킹 공격이 있었다는 사실은 확인했지만, 구체적인 범행 기간과 전체적인 피해 규모는 파악이 어렵다고 밝혔다.

국수본 관계자는 "해외 클라우드에서 탈취된 정보를 일부 확인해 사례별로 피해 기간을 추산했으나 통신 로그 보관 주기, 탈취 흔적 삭제 등의 이유로 전체적인 범행 기간은 특정하기 힘들다"고 설명했다. 이어 "피해 규모는 관리·감독 기관인 국방부와 방위사업청에서 심도 있게 들여다볼 예정"이라고 덧붙였다.

경찰은 이번 사태의 배후에는 김정은 북한 국무위원장의 구체적인 지시가 있었을 것으로 추정하고 있다.

국수본 관계자는 "기존에 김수키는 정부기관 및 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할이 나뉜 걸로 알았으나 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 전방위적으로 공격했다는 사실이 확인됐다"며 "해킹 공격의 대상을 방산업체뿐 아니라 협력업체와 유지보수 업체로까지 넓혔다는 점도 이번 수사에서 확인한 내용"이라고 말했다.

김수키 해킹 수법.[이미지 제공=경찰청]

한편 방산업체 해킹과 관련해 북한을 지원한 혐의로 수사하는 내국인이나 보안 유지를 소홀히 한 책임을 물어 수사 중인 업체는 없다고 경찰은 전했다. 국수본 측은 "해킹된 사실만으로 방산업체를 수사할 수는 없다"며 "방사청에서 관련 법령에 따라 처리하게 될 것"이라고 했다.

국수본은 수사와 함께 지난 1월15일부터 2월16일까지 방사청, 국가정보원 등과 방산업체 등을 대상으로 합동 점검을 벌여 추가 피해 예방 조치를 이어오고 있다.

국수본 관계자는 "북한 해킹조직의 방산기술 탈취 공격이 지속될 것으로 판단한다"며 "방산업체뿐 아니라 협력업체까지 자체적으로 보안을 강화하도록 방사청과 업무협약을 맺어 협력을 강화할 계획"이라고 말했다.