매일경제

라자루스 등 북한의 대표적인 3대 해킹 조직이 무기 기술을 빼내기 위해 국내 방산업체 10여 곳을 1년6개월 전부터 해킹한 것으로 확인됐다. 방산 기밀을 해킹당한 국내 방산업체들은 경찰의 수사가 시작되기 전까지 피해 사실을 알지 못했던 것으로 알려졌다. 이에 따라 방산업체들의 보안 관리가 취약하다는 지적이 나온다. 경찰청 국가수사본부 안보수사국은 국가사이버위기관리단과 공조해 수사한 결과 북한 해킹 조직 라자루스·안다리엘·김수키가 2022년 10월부터 지난해 7월까지 국내 방산업체를 대상으로 방산기술 탈취를 노리고 합동 공격한 사실이 처음 확인됐다고 23일 밝혔다.

경찰은 공격에 사용된 IP 주소와 악성코드(Nukesped, Tiger RAT 등), 소프트웨어 취약지를 악용해 경유지 서버를 구축하는 방식 등을 근거로 북 해킹 조직의 소행으로 판단했다. 일부 피해 사례에서는 중국 선양 지역에서 특정 IP 내역이 확인됐다. 이는 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것이었다. 북 해킹 조직은 주로 방산업체에 직접 침투했지만, 상대적으로 보안이 취약한 방산 협력업체부터 접근하기도 했다. 협력업체를 해킹해 방산업체의 서버 계정 정보를 탈취한 후 주요 서버에 무단으로 침투해 악성코드를 유포하는 수법을 썼다.

해킹 조직별로 공격 방식은 다양했다. 라자루스는 2022년 11월부터 방산업체 A사의 외부망 서버를 해킹해 악성코드에 감염시킨 뒤 테스트 목적으로 열려 있는 망 연계 시스템의 포트를 통해 회사 내부망을 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망 컴퓨터 6대에서 중요 자료를 수집해 국외 클라우드 서버로 빼돌렸다.

안다리엘은 2022년 10월부터 방산 협력업체 B사 등을 원격으로 유지·보수하는 C사의 계정 정보를 탈취해 B사 등의 서버에 악성코드를 설치한 뒤 방산 기술 자료를 빼냈다. 이들은 C사 직원의 개인 상용 이메일 계정 정보를 알아낸 뒤 사내 이메일로 접속해 송수신 자료를 탈취한 것으로 파악됐다. 일부 직원들이 상용 이메일 계정과 사내 업무시스템 계정에서 동일한 아이디와 비밀번호를 사용하는 허점을 악용했다. 김수키는 작년 4∼7월 방산 협력업체 D사가 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 내려받을 수 있는 취약점을 악용해 기술자료를 빼돌렸다.

경찰은 구체적인 범행 기간과 전체적인 피해 규모는 파악하기 어렵다고 밝혔다.

[권선미 기자]