북한 해킹조직, 방산업체 10곳 털었는데…"1년 넘게 몰랐다"

(서울=뉴스1) 송상현 기자 = 라자루스 등 3개 북한 해킹조직이 국내 방산기술을 탈취하기 위해 역할을 나눠 전방위 공격을 펼친 것으로 확인됐다. 국내 방산업체 83곳 중 10여곳이 피해를 봤는데 업체들은 1년이 넘도록 사실을 파악하지 못한 채 악성코드를 방치한 것으로 드러났다.

경찰청은 북한 해킹조직이 2022년 하순부터 2023년 중순까지 국내 방산기업 10여곳을 공격해 방산 자료를 빼간 사실을 확인했다고 23일 밝혔다. 국내 방산업체 83곳 대다수가 대기업인 것을 고려하면 핵심 기술 자료가 대거 탈취됐을 가능성도 있다.

이들 업체 대부분은 경찰이 지난 1~2월 방위사업청 등과 특별점검에 나설 때까지 해킹 피해 사실을 전혀 몰랐다. 해킹 공격이 늦어도 2022년 10월 시작된 만큼 최소 1년 4개월간 주요 기술자료가 유출됐을 가능성도 있다.

경찰은 라자루스, 안다리엘, 김수키 등 3개 북한 조직이 해킹을 주도했다고 밝혔다. 3개 조직은 범행을 사전 모의한 것처럼 각기 다른 국내 방산기업을 타깃으로 삼았다.

경찰 관계자는 "김수키는 정부기관·정치인, 라자루스는 금융기관, 안다리엘은 군을 타깃으로 삼는 등 역할을 분담한 것으로 이제껏 알고 있었다"며 "이들 조직이 하나의 목적으로 전방위 공격을 하는 사실을 이번에 알게 됐다"고 설명했다.

국내 방첩기관들은 북한의 해킹조직이 김정은 국무위원장의 지시를 받아 일사불란하게 움직이는 것으로 파악한다.

경찰이 파악한 공격 특징은 크게 세 가지다. 먼저 라자루스는 2022년 11월부터 A 방산업체 외부망 서버를 해킹해 악성코드에 감염시킨 후 테스트 목적으로 열려있는 망 연계 시스템을 통해 회사 내부망까지 장악했다. 이후 개발팀 직원 컴퓨터 등 내부망의 중요자료를 수집해 국외 클라우드 서버로 빼돌렸다.

안다리엘은 2022년 10월부터 B 방산업체를 원격으로 유지보수하는 C 협력업체 직원들의 이메일 계정정보를 탈취해 악성코드를 심었고 이 과정에서 감염된 서버에 저장된 방산기술 자료가 유출됐다.

D 방산 협력업체를 노린 김수키는 2023년 4월부터 7월까지 이 업체가 이메일로 송수신한 대용량 파일을 이메일 서버에 로그인하지 않고도 외부에서 다운로드할 수 있다는 취약점을 악용해 피해업체의 기술자료를 탈취했다.

경찰은 △감염된 방산업체 PC에서 북한 해커가 사용한 것으로 확인된 악성코드가 발견된 점 △소프트웨어의 취약점을 악용해 명령 및 제어장치를 구축하는 방식이 북한 해커조직과 유사한 점 △과거 북한이 해킹 공격을 시도했던 인터넷주소(IP)가 발견된 점을 들어 이번 사건을 북한 소행으로 결론 내렸다.

경찰 관계자는 "북한 해커조직의 방산 기술 탈취가 지속될 것으로 판단된다"며 "방위사업청과 협력해 방산 협력업체를 대상으로 피해 예방 교육을 실시하고 북한 배후 해커조직에 대한 수사를 지속하겠다"고 말했다.

songss@news1.kr