K방산, 북한 해킹에 뚫렸다

경찰, 기술유출 사건 수사 결과
北 3개 해킹조직 합동 공격 확인
협력업체·그룹웨어 취약점 노려
국내 방산업체 10곳 자료 빼내

북한이 운영하는 해킹조직 3곳이 국내 방위산업체 10여곳의 자료를 빼내간 것으로 확인됐다. 경찰청 국가수사본부 안보수사국은 북한의 3개 해킹조직(라자루스·안다리엘·김수키)이 국내 방산기술 정보를 빼내기 위해 전방위 공격하고 있는 것을 확인해 보안조치를 취했다고 23일 밝혔다. 국가수사본부는 국가사이버위기관리단과 공조해 국내 방산기술 유출 사건을 수사해왔다.

경찰청은 이들이 공격에 사용한 IP주소와 경유지 구축 방법, 공격에 사용한 악성코드 등을 근거로 이번 사건을 북한 해킹조직의 소행으로 판단했다. 이들은 회사 내·외부 망 연계시스템, 협력업체 보안, 그룹웨어 등의 취약점을 찾아내 회사 내부 정보를 빼내갔다. 일부 피해업체들은 경찰의 연락을 받기 전까지도 해킹 피해 사실을 전혀 모르고 있었다.

일부 피해 사례의 경우 중국 선양지역에서 특정 IP 내역이 확인됐는데, 2014년 한국수력원자력 공격 때 쓰였던 IP와 동일한 것으로 드러났다.

라자루스는 지난 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드를 심었다. 이들은 악성코드를 이용해 테스트 목적으로 열려있는 망 연계 시스템의 포트를 통해 회사 내부망을 장악, 컴퓨터 6대에서 자료를 빼냈다.

안다리엘은 방산 협력업체를 노렸다. 이들은 지난 2022년 10월경부터 협력업체인 B사 등을 원격 유지 보수하는 C사의 계정정보를 탈취해 B사에 악성코드를 설치한 후 서버에 저장된 자료를 훔쳤다. 김수키는 그룹웨어 이메일 서버의 취약점을 노렸다. 이들은 지난해 2023년 4월부터 7월까지 방산 협력업체 D사 이메일서버에서 피해업체 기술자료를 빼냈다. D사의 이메일 서버는 로그인 없이 외부에서 이메일로 송수신한 대용량 파일을 다운로드 가능했다.

경찰에 따르면 이들 3개 조직으로부터 피해를 본 업체는 10여개에 이른 것으로 드러났다.

국수본 관계자는 "기존에 김수키는 정부기관 및 정치인, 라자루스는 금융기관, 안다리엘은 군과 국방기관 등을 주로 공격하도록 역할이 나뉜 걸로 알았으나 이번 수사를 통해 하나의 목적을 두고 비슷한 시기에 전방위적으로 공격했다는 사실이 확인됐다"고 말했다.

경찰 관계자는 "방산기술을 대상으로 한 북한의 해킹 시도가 지속해서 이어질 것으로 전망된다"며 "방산업체 뿐만 아니라 협력업체에 대해서도 내외부망 분리, 이메일 비밀번호의 주기적인 변경과 2단계 인증 등 계정 인증 설정, 인가되지 않은 IP 및 불필요한 해외IP 접속 차단 등의 보안 조치를 강화해 달라"고 당부했다.

beruf@fnnews.com 이진혁 기자