라자루스 등 북한 해킹 부대가 국내 방산기술을 탈취하기 위해 전방위로 공격한 정황이 경찰에 포착됐다. 올해 1~2월 국내 방산업체 83곳을 특별점검한 결과 대기업 방산업체 등 10여곳이 기술 자료를 탈취당하는 등 해킹 피해를 본 것으로 나타났다는 것이다. 피해 업체들은 길게는 1년 이상 북한의 해킹 사실조차 파악하지 못한 것으로 드러났다.
정근영 디자이너
23일 경찰청 국가수사본부는 국가사이버위기관리단과 함께 라자루스·안다리엘·김수키 등 북한 해킹조직이 2022년부터 국내 방산업체를 공격해 기술을 탈취하려고 시도한 정황을 파악했다. 피해 방산업체 대부분은 대기업이어서 국가 핵심기술 자료가 탈취됐을 수 있다는 우려가 나온다. 경찰은 보안을 이유로 북한의 기술 탈취가 의심되는 방산업체명과 기술 자료의 내용은 공개하지 않았다.
경찰청과 국내 방첩 기관 등에 따르면 북한 해킹 부대는 김정은 국무위원장의 지시를 받고 움직이는 것으로 파악됐다고 한다. 보통 라자루스는 금융기관, 안다리엘은 군 안보기관, 김수키 등은 정부 기관 등을 목표로 역할을 분담했지만 이번엔 세 조직이 방산 기술을 탈취하기 위해 일사불란하게 움직였다고 밝혔다.
이번 공격의 특징은 방산업체를 직접 해킹하는 것 외에도 협력업체 등을 먼저 공격한 뒤 얻은 정보를 바탕으로 기술 자료를 탈취했다는 점이다. 특히 라자루스는 지난 2022년 11월부터 최근까지 A 방산업체 외부망 서버를 악성코드로 감염시킨 뒤 망 연계 시스템이 취약하다는 점을 이용해 내부망에 침투했다. 이후 A사 개발팀 직원의 컴퓨터 등 내부망에 있던 자료를 자신들의 해외 서버로 빼돌린 것으로 드러났다.
안다리엘은 2022년부터 B 방산 협력업체의 서버를 원격으로 유지·보수하는 외주업체 직원의 네이버·카카오 e메일 계정 정보를 이용해 악성코드를 설치한 것으로 드러났다. 일부 직원이 개인 e메일 계정과 사내 업무 계정에서 동일한 아이디와 비밀번호를 사용한다는 점을 악용한 것이다. 이외에 김수키는 방산 협력업체의 사내 그룹웨어 e메일 서버를 공격한 뒤 자료를 탈취한 것으로 나타났다.
![북한 해킹 수법 비중 그래픽 이미지. [자료제공=국가정보원]](https://imgnews.pstatic.net/image/025/2024/04/24/0003356135_002_20240424061124848.jpg?type=w647)
북한 해킹 수법 비중 그래픽 이미지. [자료제공=국가정보원]
피해 방산 업체 중 대부분은 지난 1~2월 경찰이 특별점검을 했을 때까지 해킹 사실을 전혀 모른 것으로 전해졌다. 경찰 관계자는 “해킹 공격은 대부분 2022년 10~11월에 발생한 것으로 추정되지만 악성코드가 최근까지 살아있었기 때문에 자료가 계속 탈취됐을 가능성이 있다”고 밝혔다.
경찰은 감염된 방산업체 PC에서 북한 해커가 사용한 것으로 확인됐던 악성코드가 발견된 점, 명령·제어장치를 구축하는 방식이 북한 해커조직과 유사한 점, 과거 북한이 해킹 공격을 시도했던 동일한 인터넷주소(IP)가 이번 공격에서도 발견된 점을 들어 이번 사건을 북한 소행으로 결론 내렸다.
경찰 관계자는 “북한 해커조직의 방산 기술 탈취 시도가 지속할 것으로 판단된다”며 “방위사업청 등과 협력해 방산 협력업체를 대상으로 e메일 비밀번호를 주기적으로 변경하고 협력업체 등에 대해서도 내·외부망 관리를 분리해서 실시하는 등 보완 조치를 강화하게 하겠다”고 말했다.